[Sécurité] Allow_url_fopen() Activé ou pas? [Résolu]

mathieugamin · 13/02/2007, 12h09

Bonjour,

Mon site tourne sur un serveur dédié.

La fonction allow_url_fopen est activée.

Quels sont les risques ?

Sachant que :
- ma boîte est très orientée sécurité,
- la navigation se fait sous protocole HTTPS,
vaut-il mieux désactiver cette fonction ou bien le TLS suffit ?

Merci !

juJuv51 · 13/02/2007, 12h43

Je ne sais plus si allow_url_fopen est uniquement pour fopen('http://www.host.com/', 'rb'), si c'est le cas, ça ne risque pas grand chose, enfin, par exemple si tu utilises les librairie cURL, c'est évidement que tu peux le laissé en actif.

mathieugamin · 13/02/2007, 13h40

Merci
Et pour la question du https, est-ce que cela rend inutile la désactivation de la fonction ?

juJuv51 · 13/02/2007, 13h52

le https n'a aucune porté sur cette fonction...
il permet juste la certification de l'host (du serveur sur lequel le client se connecte) et le cryptage entre les deux.

je ne pense pas que fopen gère le https, mais cURL le fait.

En matière de sécurité, je pense que les options de PHP les plus important sont les magic quotes (qui permettent l'ajout de \ devant chaque ' et " pour évité les injections de type SQL) et les droits sur les fichiers (tu peux faire que même si une personnes puisse inclure une sorte de shell, elle ne puisse rien uploader et rien modifier)

mathieugamin · 15/02/2007, 16h29

Désolé pour la réponse tardive...

13/02/2007, 12h09	#1
mathieugamin Membre expérimenté Inscription : octobre 2006 Messages : 572 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : octobre 2006 Messages : 572 Points : 562 Points : 562	[Sécurité] Allow_url_fopen() Activé ou pas? Bonjour, Mon site tourne sur un serveur dédié. La fonction allow_url_fopen est activée. Quels sont les risques ? Sachant que : - ma boîte est très orientée sécurité, - la navigation se fait sous protocole HTTPS, vaut-il mieux désactiver cette fonction ou bien le TLS suffit ? Merci ! __________________ GAMIN !!!! _______________________________________________ PHP 5.2 \| Apache 2 \| MySQL 5 \| WinXP Pro \| Mac OSX
	00

13/02/2007, 13h40	#3
mathieugamin Membre expérimenté Inscription : octobre 2006 Messages : 572 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : octobre 2006 Messages : 572 Points : 562 Points : 562	Merci Et pour la question du https, est-ce que cela rend inutile la désactivation de la fonction ? __________________ GAMIN !!!! _______________________________________________ PHP 5.2 \| Apache 2 \| MySQL 5 \| WinXP Pro \| Mac OSX
	00

15/02/2007, 16h29	#5
mathieugamin Membre expérimenté Inscription : octobre 2006 Messages : 572 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : octobre 2006 Messages : 572 Points : 562 Points : 562	Désolé pour la réponse tardive... __________________ GAMIN !!!! _______________________________________________ PHP 5.2 \| Apache 2 \| MySQL 5 \| WinXP Pro \| Mac OSX
	00

13/02/2007, 12h43	#2
juJuv51 Membre confirmé Inscription : décembre 2006 Messages : 297 Détails du profil Informations forums : Inscription : décembre 2006 Messages : 297 Points : 248 Points : 248	Je ne sais plus si allow_url_fopen est uniquement pour fopen('http://www.host.com/', 'rb'), si c'est le cas, ça ne risque pas grand chose, enfin, par exemple si tu utilises les librairie cURL, c'est évidement que tu peux le laissé en actif.
	00

13/02/2007, 13h52	#4
juJuv51 Membre confirmé Inscription : décembre 2006 Messages : 297 Détails du profil Informations forums : Inscription : décembre 2006 Messages : 297 Points : 248 Points : 248	le https n'a aucune porté sur cette fonction... il permet juste la certification de l'host (du serveur sur lequel le client se connecte) et le cryptage entre les deux. je ne pense pas que fopen gère le https, mais cURL le fait. En matière de sécurité, je pense que les options de PHP les plus important sont les magic quotes (qui permettent l'ajout de \ devant chaque ' et " pour évité les injections de type SQL) et les droits sur les fichiers (tu peux faire que même si une personnes puisse inclure une sorte de shell, elle ne puisse rien uploader et rien modifier)
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email