Достаточно ли безопасно добавление "http://" к имени файла для PHP fopen (), чтобы предотвратить чтение локальных файлов?

Question

У меня есть скрипт PHP, который принимает URL-адрес файла с помощью GET и открывает его с помощью fopen.
Это решение достаточно безопасно или это брешь в безопасности?

$filename = $_GET['file'];
if( substr( $filename, 0, 7 ) !== 'http://' )
    $filename = 'http://'.$filename;

fopen( $filename, 'r' );
// etc...

Таким образом, вы не можете заставить локальный путь к скрипту читать из него.

Answer 1

То, что должно работать, но вот еще две вещи, о которых стоит подумать:

• Предоставление доступа к другим серверам.Если ваш сервер находится за брандмауэром, кто-то может использовать его для извлечения данных с другого сервера за вашим брандмауэром (или с помощью службы и т. Д.), Используя HTTP, FTP и т. Д.

• Рекурсивноотказ в обслуживании.Убедитесь, что у вас нет возможности дать вам URL-адрес самого скрипта для извлечения таким способом, который делает цикл рекурсии.

Answer 2

Это довольно хрупко, так как безопасность зависит от регистрируемого обработчика http.Что если в будущей версии PHP он будет удален или необязателен?

Вот в чем проблема.Это на самом деле работает (после предупреждения):

stream_wrapper_unregister('http');
file_get_contents('http://../../../../../etc/passwd');

Answer 3

Не совсем уверен, но вам может понадобиться избежать его, чтобы быть в безопасности.

$filename=escapeshellarg ( $filename );

См .: http://php.net/manual/en/function.escapeshellarg.php

Answer 4

другая мера безопасности / опция заключается в использовании chroot() http://php.net/manual/en/function.chroot.php