X

allow_url_includeオプションの追加

(Last Updated On: 2018年8月13日)

CVS HEADでは昨年11月にallow_url_includeオプションが追加されています。allow_url_fopenからinclude/require文の設定を分離するオプションです。

このオプションを付けると万が一、

$dir = $_GET[‘dir’];
…..
…..
include($dir.$file);

の様なコードがあってもhttp://, ftp:// は使えなくなります。(SSL/TLSも)ただしphp://inputは使えます。ですから今ひとつなパッチですが無いよりましです。

私がPHP 5.1.2用にバックポート(ほとんどオリジナルと同じですが)はこちらです。
http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2Fallow_url_include

Tags: PHP
yohgaki:
Related Post
Leave a Comment