Aujourd’hui la plus part des servers PHP sont réglés avec register_globals OFF. Tous le monde sait que c’est dangereux, d’ailleurs dans PHP 6 cette valeur sera sur OFF et non modifiable et c’est tant mieux. Mais on oublie trop souvent la variable "allow_url_fopen" qui permet d’exécuter des scripts distant, la célèbre faille include.
Pour ce protéger rien de plus simple dans votre php.ini changer "allow_url_fopen On" par "allow_url_fopen Off".
Vous voilà protégé ……. Oui le messieurs au fond de la salle, vous avez un script qui utilise cette fonction. Et bien dans ce cas n’autorisez qu’un fichier ou un répertoire à utiliser la fonction allow_url_fopen. Mais faites bien attention que votre script soit bien sécurisé. Pour activé cette fonction sur un fichier ou un répertoire on vas utiliser Apache.
Ouvrez votre fichier /etc/apache2/sites-available/mon_site_.conf et ajouter pour un répertoire :
<Directory "/var/www/mon_site/mon_repertoire_ou_j_ai_besoin/">
php_admin_flag allow_url_fopen on
</Directory>
Où pour un fichier
<Files "/var/www/mon_site/mon_repertoire_ou_j_ai_besoin/mon_fichier_qui_a_besoin">
php_admin_flag allow_url_fopen on
</Files>
N’oubliez pas de recharger la nouvelle configuration d’Apache avec un
/etc/init.d/apache2 force-reload