Discussion :

[mathieugamin]

Bonjour,
Mon site tourne sur un serveur dédié.

La fonction allow_url_fopen est activée.

Quels sont les risques ?

Sachant que :
- ma boîte est très orientée sécurité,
- la navigation se fait sous protocole HTTPS,
vaut-il mieux désactiver cette fonction ou bien le TLS suffit ?

Merci !

[juJuv51]

Je ne sais plus si allow_url_fopen est uniquement pour fopen('http://www.host.com/', 'rb'), si c'est le cas, ça ne risque pas grand chose, enfin, par exemple si tu utilises les librairie cURL, c'est évidement que tu peux le laissé en actif.

[mathieugamin]

Merci
Et pour la question du https, est-ce que cela rend inutile la désactivation de la fonction ?

[juJuv51]

le https n'a aucune porté sur cette fonction...
il permet juste la certification de l'host (du serveur sur lequel le client se connecte) et le cryptage entre les deux.

je ne pense pas que fopen gère le https, mais cURL le fait.

En matière de sécurité, je pense que les options de PHP les plus important sont les magic quotes (qui permettent l'ajout de \ devant chaque ' et " pour évité les injections de type SQL) et les droits sur les fichiers (tu peux faire que même si une personnes puisse inclure une sorte de shell, elle ne puisse rien uploader et rien modifier)

[mathieugamin]

Désolé pour la réponse tardive...