fopen Alternative/Ausgabe übernehmen

[dezz]

Hallo,
ich suche eine andere Möglichkeit, die Ausgabe eines Scripts zu übernehmen.
(Hab gehört das fopen eine Sicherheitslücke ist)
Gibt es dazu Alternativen?

 

[sheel]

Seit wann gibt fopen was aus?

 

[ComFreek]

Ich denke du hast das mal falsch verstanden.
Einige Anbieter schalten allow_url_fopen aus, damit du keine Streams auf Dateien von anderen Servern bekommst.

 

[dwex]

...und wie kommst du auf die Sicherheitslücke.

Klar wenn du Resourcen damit öffnest (allow_url_fopen ggf. vorausgesetzt) welche "böse" sind und das ganze ungeprüft weiterbearbeitest dann ist das eine Sicherheitslücke - jedoch steckt die nicht in der Funktion fopen sondern sitzt 50 cm vor dem Bildschirm und heist Programmierer. [DUCK:UND:WECH]

 

[dezz]

Naja, mit fopen konnten/mussten Kunden den Inhalt einer meiner Seiten übernehmen.
Hier ein Bsp.:

if (!feof($read))
        {
        $buffer = fgets($read, 30000000); 
        echo $buffer;
        }    
        fclose($read);
}

//edit

Also könnte ich doch eig allow_url_fopen angeschaltet lassen?

//edit2

Wenn es offen ist, kann man dann per URL was böses damit anstellen ?

 

[ComFreek]

fopen Alternative/Ausgabe übernehme ...

Wenn [phpf]fopen[/phpf] mit externen Quellen funktionieren soll (z.B. über HTTP oder FTP) dann muss allow_url_fopen aktiviert sein.

 

[ComFreek]

fopen Alternative/Ausgabe übernehme ...

Zu deiner 2. Frage:
Deine Kunden könnten eben Anfragen an andere Server senden, die dann von deinem Server kommen.

Ich benutze gerade die IPhone-App, bei der man Beiträge nicht editieren kann. Deshalb habe ich zwei Beiträge geschrieben

 

[dezz]

Habe da aber noch was von cURL gelesen. Könnte man damit den Inhalt einer Seite auslesen und in die eigene einbetten?
(Installiert ist es)

 

[ComFreek]

Ja, könnte man.
Ich weiß jetzt nicht direkt, was der Unterschied zwischen den beiden ist (von der Dateiabfrage her), aber z.B. Google findet sehr viel: fopen curl