Форум OlegON > Компьютеры и Программное обеспечение > Сеть > Создание сайтов и поисковая оптимизация (SEO)

Не используйте file_get_contents с динамическими входными данными

01.04.2020 6:01


11.05.2017 10:29
OlegON
 
Функция file_get_contents известна и популярна. С ее помощью часто таскают и внешние ресурсы (HTTPS/HTTP), включив соответствующую опцию в php.ini

Однако, универсальность этой функции скрывает и очень большой подводный камень. Если вы не отфильтруете тщательно входные данные, то в итоге функция может работать не через сеть, а напрямую, отдавая необработанное содержимое php-файлов к которым имеет доступ пользователь php, просто копируя их содержимое, как они лежат на диске. Очень простой способ получить пароли. Учитывая еще то, что file_get_contents нельзя завернуть в SOCKS5 прокси, лучше использовать, например, curl_exec().

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.