我应该在PHP中允许'allow_url_fopen'吗?
我应该在PHP中允许'allow_url_fopen'吗?
提问于 2019-04-18 00:09:13
我们有几个开发人员要求allow_url_fopen在我们的服务器上启用。这些天的常态是什么,如果libcurl启用,是否真的有任何理由允许?
环境是:Windows 2003,PHP 5.2.6,FastCGI
回答 2
Stack Overflow用户
发布于 2019-04-18 08:11:31
跨站点脚本攻击是一种痛苦,所以这是投票反对。你绝对应该将“ allow_url_include ”设置为关闭
Stack Overflow用户
发布于 2019-04-18 09:15:37
你肯定想要allow_url_include设置为Off,这也减轻了许多风险allow_url_fopen。
但是因为不是所有版本的PHP都有allow_url_include,对许多人来说,最好的做法是关闭fopen。与所有功能一样,现实情况是,如果您的应用程序不需要它,请禁用它。如果你确实需要它,curl模块可能可以做得更好,并且重构你的应用程序以使用curl禁用allow_url_fopen可能会阻止最不确定的破解者。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/-100001124
复制相关文章
相似问题