Onderwerp: allow_url_fopen() gedisabled...

Hallo mijn hosting heeft allow_url_fopen() gedisabled, dit omdat er volgens de hosting veel sites worden gehacked via deze functie? Klopt dit?
En wat is jullie mening als hosting zijde? Blokkeren of niet?

Verder zoek ik tevens een alternatief, mocht de hosting het uit laten staan.
Wel zonde in ieder geval, want ik gebruik geen Joomla, PHP, of Mabo die lek zijn, maar wel een zelf gebouwd SMS-systeem....

Logisch, is inderdaad een gevaarlijke functie. Verder is het aan jouw ISP om dat te besluiten, als hij dat wil, dan doet hij dat. Heb je weinig tegen in te brengen, provider zal dat niet doen als het niet nodig is

Ligt eraan wat je wilt doen. Waarom wil je gebruik maken van de url_fopen

Verbinding maken naar de externe tegenpartij voor een SMS-systeem.
Gewoon een GET URL naar ze sturen, zodat ik een return-code krijg.

Code:

<?php 
$url = "http://********.nl/checksms.php" . 
          "?username=" . $smsuser . 
          "&password=" . md5($password) . 
          "&pincode=" . $pincode; 
$returncode = implode('', file($url)); 

?>

Dat zou ik toch niet op die manier doen.

?username=[username encypted]

decrypten
get of post valideren met regexp

en dan doen wat je maar wilt doen met de informatie


En anders maar curl

Oorspronkelijk geplaatst door ol4pro

Dat zou ik toch niet op die manier doen.

?username=[username encypted]

decrypten
get of post valideren met regexp

en dan doen wat je maar wilt doen met de informatie


En anders maar curl

Tja, zo moet mijn SMS-aanbieder het ontvangen, met de GET-url...
daar kan niks aangedaan worden. Dus hoe omzeil ik fopen()???

Is er een workaround voor? Kan iemand een voorbeeld geven, en waarom is het dan onveilig?

http://www.technosailor.com/lessons-...file-execution

En als je je afvraagt waarom die $_GET zo onveilig is op die manier..

persoonlijk vind ik het niet zo grappig als iemand mijn username en pincode zo over het world wijde web gooid


En als ik jouw was dan maar met je SMStegenpartij om te tafel gaan zitten

Heeft iemand dan een workaround?

cURL library van PHP moet dat wel kunnen.
En anders kan je met de header() functie ruwe GET headers versturen.

Oorspronkelijk geplaatst door frvge

cURL library van PHP moet dat wel kunnen.
En anders kan je met de header() functie ruwe GET headers versturen.

Ik ga nog eens in conclaaf met de hosting. Anders kan ik alsnog alles vanwege mijn deadline aanpassen.

Vraag je host om het alleen voor jouw site aan te zetten. Het is inderdaad zeer gevaarlijk om dat voor iedereen aan te zetten, je voorkomt een hoop shit door het uit te zetten. Echter hebben sommige klanten het gewoon nodig, dus dan moet je daar een afspraak over kunnen maken.

Oorspronkelijk geplaatst door TotallyHosted

Vraag je host om het alleen voor jouw site aan te zetten. Het is inderdaad zeer gevaarlijk om dat voor iedereen aan te zetten, je voorkomt een hoop shit door het uit te zetten. Echter hebben sommige klanten het gewoon nodig, dus dan moet je daar een afspraak over kunnen maken.

Tja, ik heb ze gemaild, en het gevraagd dat ik geen andere optie dan dit zie.
Afwachten dus...

Gewoon curl gebruiken! het dient ervoor!

En een gewone url aanroepen zal wel een van de basisvoorbeeldjes zijn in de docs van php...

En mocht curl niet compileerd zijn met de php versie die jou ISP draait, kan je ook nog kijken naar socket_create(), mits die wel is gecompiled natuurlijk...

Wij gebruiken ook een eigen SMS-systeem en dit kun je zo omzetten naar CURL, het vereist alleen wat aanpassingen en testen aan jouw kant.

www.php.net/curl

allow_url_fopen is een gevaarlijke instelling, wij zetten deze ook niet zomaar open.