fopen() - Sicherheitslücke?

[Gweilo]

Hi,
Mein Host hat aus "Sicherheitsgründen" fopen gesperrt.

Zitat:

Der Zugriff über fopen wurde blockiert. Grund: Hacker haben die Möglichkeit externe Urls (auch böswillige Scripte) über Ihr PHP Programm über jeden beliebigen Browser abzurufen und auszuführen. Da bereits versucht wurde über einen unserer Server eine externe URL abzurufen wurde dieser Dienst blockiert.

Nun meine Frage:
Wenn eine externe URL per fopen geöffnet wird, wird diese noch lang nicht ausgeführt, oder? Bloss wenn eval auf den ausgelesenen Teil ausgeführt würde.
Das meiner Meinung nach einzige Sicherheitsrisiko ist das Auslesen (und anschliessende Ausgeben) von Dateien, die nicht zum auslesen bestimmt sind (Dateien mit dem MySQL password, Dateien in Ordnern unterhalb dem Hauptverzeichnis, zB das passwd file)

Liege ich recht in meinen Annahmen?
Haben eure Hosts auch solche Sperrungen von befehlen vorgenommen?

mfg,
Gweilo

edit: ModRewrite haben sie auch gesperrt =( Gründe haben sie keine angegeben, ausser "aus Sicherheitsgründen".

[feuervogel]

also modrewrite zu sperren finde ich lächerlich...

und dann frage sie mal was an

fopen( "./datei.txt" );

gefährliches ist? und wie man damit _irgendwas_ auf dem server crashen kann...würde mich wirklich mal interessieren...

natürlich ist ein ungeprüftes

fopen( $_GET[ 'dateipfad' ] );

nicht die feine englische, aber deswegen gleich die funktion zu sperren!?!

p.s.: mein hoster wird mir das nicht sperren, da ich ab bald mein eigener bin :-)

[|Coding]

hi,

das mit fopen klingt für mich nach ner scheinheiligen ausreden, denn wenn man 0-Bite dateien mit fopen öffnet, dann hängt es sich in einer endlosschleife auf und dass ist nicht cool fürn server. darum sollte man auch immer die dateigröße testen...

klingt viel eher danach, dass die wohl keinen bock auf support leistungen haben, bzw. das die techniker keinen bock haben, betreffende scripte zu stoppen.


btw: das ist ot :-) -> MOVED