Do. 19.03.2009
20:38 Uhr
#1
Guten Abend,
mir ist nicht ganz klar, was an url_fopen so gefährlich sein soll. Soweit ich weiß, kann bei dynamischen Seitem dann von einem Hacker möglicherweise eine URL dort angegeben werden und dann lädt das Script evt. eine gefähliche Datei nach. So weit so gut.
Ist fsockopen nun weniger gefährlich?
Ich suche eine Funktion, die einen Inhalt einer Webseite ausließt und als String speichert. Vielleicht kennt jemand eine Funktion, die noch sicherer ist?
Fr. 20.03.2009
07:53 Uhr
#3
- Registriert seit
- 26.08.2006
- Beiträge
- 2.122
- Beitragswertungen
Hey, Flomavali!
Was willst du denn genau machen? Ja, ne is klar, einen Content einer Seite auslesen, aber zu welchem Zweck? Was willst du verarbeiten?
Mir ist auch nur fopen bekannt um sowas zu realisieren.
Mit böhsen Grüßen
BöhserDavid
Fr. 20.03.2009
10:51 Uhr
#4
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Das einfachste ist file_get_contents um eine ganze Seite auszulesen, allow_url_fopen muss dafür allerdings aktiviert sein und birgt nicht wirklich ein Sicherheitsrisiko, da allow_url_include ja meist deaktiviert ist, die Hoster erlauben es denke ich mal auch nicht, weil es so ein Server schon stark belasten kann, wenn jeder ein TS oder Serverskript hat, was meist noch schlecht programmiert ist und bei jedem Seiteaufbau neue Verbindungen aufbaut statt zu cachen.
Zuletzt modifiziert von Mairu am 20.03.2009 - 10:51:22
Fr. 20.03.2009
11:18 Uhr
#5
Bei mir ist es extra aktiviert worden, da ich ein großes Projekt plane, genauer eher eine Software, jedoch braucht die ein PHP-Script.
Hier mal meine Planungen:
Es gibt verschiedene Seiten für Hobbyautoren ihre Geschichten zu veröffentlichen. Um möglichst schnell überall die Geschichte einzusenden habe ich mir gedacht, dass ich ein Portal öffne.
In diesem Portal ist es nun möglich sein Nutzernamen bei einer Community anzugeben, die unterstützt wird und mein Projekt natürlich selbst auch unterstützt. Nun bekommt der Nutzer eine PN in der Community und schon dafür wird fopen benötigt, denn ich übertrage die Daten, wie jetzt zum Beispiel "Flomavali" unsichtbar an die Community und möchte dann mit meinem PHP-Script die Seiten auswerten.
Sprich: Nutzer A gibt nun den Nutzernamen "Flomavali" für die Community "autoren-community.de" ein. Dann möchte mein Script folgende URL auslesen: autoren-community.de/test.php?user=Flomavali
Bei erfolgreichem PM verschicken, mit Link zum aktivieren*, wird dann die Nummer 1 ausgegeben, bei einem fehler die 0. Das wertet mein Script nun auch aus und gibt den User auf meinem Portal an, ob die Aktion erfolgreich war.
*Mit Link, damit man sein Passwort nicht nennen muss, ich mir aber sicher sein kann, dass es wirklich der genannte User ist.
Dazu wird dann noch eine Software programmiert, dies hat damit aber weniger zu tun.
meine Frage nun ist, ob fopen da die beste Lösung ist, wenn ich nur den Inhalt der Webseite auswerten möchte. Und, ob dies ein sicherer Weg ist.
Fr. 20.03.2009
11:26 Uhr
#6
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Naja es sicher die einfachste Lösung, aber ich sags nochmal kurz mit file_get_contents kannst du es in einer Zeile machen, ansonsten gibts noch CURL, aber ich denke das brauchst du in diesem Fall nicht, wenn du wirklich nur eine URL Aufrufen willst, um dann etwas im Quelltext zu sehen.
Fr. 20.03.2009
11:31 Uhr
#7
Danke für die Hilfe.
Muss file_get_contents denn auch für externe Zugriffe freigegeben werden?