Fragen und Antworten

Wie lade ich externe URLs mittels fopen()?

Über den PHP-Befehl fopen() ist es möglich, neben lokalen Dateien auch beliebige Dateien von externen URLs herunterzuladen.

Für viele Entwickler ist diese Möglichkeit unerwartet, denn die meisten Programmiersprachen erlauben über vergleichbare Funktionen ausschließlich das Laden von lokalen Dateien. Daher gibt es zahlreiche PHP-Anwendungen, die diese Funktion nicht ausreichend absichern und benutzerdefinierte HTTP-Parameter ungeprüft übergeben. Dadurch ist es möglich, dem fehlerhaften Script über passende HTTP-Parameter eine externe URL zu übermitteln, von der dann eine Datei mit PHP-Code nachgeladen und ausgeführt wird.

So könnte ohne Ihr Wissen beliebige bösartige Software auf Ihrer Webseite hinterlegt werden, über die beispielsweise Spam versendet oder Viren verbreitet werden. Wir haben das Laden von externen URLs über diese Funktion daher aus Sicherheitsgründen deaktiviert (allow_url_fopen=0), Sie können dies jedoch bei Bedarf wieder aktivieren.

allow_url_fopen per php.ini aktiviern

Um die Funktion für Ihre Webseiten zu aktivieren, erstellen Sie in den gewünschten Verzeichnissen eine Datei mit dem Namen php.ini und folgendem Inhalt:

allow_url_fopen=1

Beachten Sie bitte auch die Hinweise zu php.ini-Dateien in den Links am Ende des Artikels.

allow_url_fopen in der Shell

Für den PHP-Shell-Interpreter (php-cli) ist allow_url_fopen standardmäßig aktiviert, da hier keine Sicherheitsprobleme zu befürchten sind.

Links

• Was sind php.ini-Dateien und wie kann ich sie nutzen?