SecurityFocus утверждает, что это было исправлено в PHP 5.2.6.Если вы не можете выполнить обновление до этого, вам нужно вручную проверить этот вектор атаки.Возможно, проверьте введенные пользователем данные, если перед URL-адресом определенно стоит «http», с if (substr($url, 0, 7) == 'http://'))
Более того, согласно комментариям к в этом отчете об ошибках php curl даетВозможность отключить определенные протоколы, в том числе локальный доступ к файлам, но только при настройке и компиляции из источника.Согласно инструкции cURL это должно быть что-то вроде этого (не проверено):
./configure --disable-file