Kommentare zu: BlogRoll von BlogLines einbinden

Von: Martin

Tue, 30 Oct 2007 20:29:13 +0000

Jepp…

Von: Christian

Mon, 01 Oct 2007 17:06:48 +0000

so, fixed, dann sollte es so gehen. Oder?

Von: Christian

Mon, 01 Oct 2007 07:34:46 +0000

Na das ist ja mal gut zu wissen.
Ich hatte das vor Zeiten mal von irgendwo (Bloglines?) so übernommen und lange, lange nicht mehr in der Hand gehabt.

Aber dann werd ich das mal schleunigst ändern…
Merci für den Hinweis :)

Von: Martin

Mon, 01 Oct 2007 07:27:40 +0000

Das ist ein mega Sicherheitsloch, was du da eingebaut hast. include ist nicht für das Laden von externen Dateien gedacht, vielmehr includiert man damit externe PHP-Dateien.
Wenn allow_url_fopen auf true gesetzt ist, kann jemand so externen Code einschleußen. Bloglines.com könnte da PHP-Code reinschreiben, der würde bei dir auf dem Server ausgeführt.

Außerdem ist die If-Condition immer TRUE, include ist keine Funktion, es ist ein Sprachkonstrukt, so wie z.B. auch isset.

Eine gute Alternative ist file_get_contents() bzw. readfile().