phpBB 3 a allow_url_fopen

Zdravím webtržníky. Chci si nainstalovat phpBB3 fórum na subdoménu Když sem začal s instalací tak jsem zjistil že na hostingu nemám zapnutou funkci "allow_url_fopen" která by mohla zapříčinit: Pokud je vypnuté, některé funkce, jako například vzdálené avatary, nebudou fungovat. Napsal jsem tedy na hosting a odpověď následující Dobry den, samozrejme je to mozne zapnout, pokud si jste vedom bezpecnostniho rizika ktere z toho pro Vas web muze plunout. Ale zrovna v kombinaci s phpBB bych to prilis nedoporucoval. Opravdu si prejete zapnout url wrapper? Co doporučujete, jáká rizika mohou nastat ? Děkuji všem.

Ahoj, neznám přesně kód phpBB3, takže spíše jen obecně:allow_url_fopen Ti umožní přistupit k datům na jiných serverech (např. ke zkopírování toho Avataru).Možné bezpečnostní riziko je takové, že Ti někdo může podstrčit PHP kód, který se vykoná u Tebe na serveru. Může Ti ho jednak "includovat" do již probíhajícího kódu (a v tu chvíli má obvykle již okamžitě přístup k databázi atd.) - tomu lze zabránit pomocí allow_url_include .Ale i když nevykonáš include, ale např. soubor jen zkopíruješ, tak je zde stále riziko toho, že by sis třeba na veřejnou část webu mohl zkopírovat PHP skript, který pak útočník spustí. A zase záleží na nastavení serveru, ale třeba by mohl napsat takový, který umožní procházení souborů na serveru, pak by se dostal i k databázi atd.Samozřejmě kód může obsahovat různé mechanismy, jak tomu zabránit a netuším, jak konkrétně to phpBB3 řeší. A že Tě před tím varují - řada správců pamatuje problém s phpBB2, které jednu dobu doslova "složil" jeden exploit...

Děkuji za vysvětlení dávám rep+