all_url_include在php 5.2以后添加,安全方便的設置(php的默認設置)為:allow_url_fopen=on;all_url_include=off;
allow_url_fopen = On (允許打開URL文件,預設啟用)
allow_url_fopen = Off (禁止打開URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,預設關閉)
allow_url_include = On (允許引用URL文件,新版增加功能)
禁止allow_url_include解決了遠端引用(Include)的問題, 同時又讓我們還可以在
一般的情形下使用fopen去打開遠端的檔案, 而不必再牽連上打開include函數所帶來的風險.
因此在新版PHP中allow_url_fopen選項預設是打開的,而allow_url_include則預設是關閉的.
然而事實上若從系統角度來看,即使禁止了PHP的allow_url_fopen和allow_url_include功能,
其實也不能完全阻止遠端調用及其所帶來的安全隱憂,而且它們只是保護了標記為URL的句柄,
也就是說只能影響http(s)和ftp(s)的調用, 但對包含其他標記的遠端調用,例如對PHP5.2.0
新版所提供的php和data則無能為力,而這些調用一樣會導致注入風險