Re: Alerte vigilance
Posté : 02 sept. 2020, 20:23
Bonjour
J'arrive un peu après la guerre.
Jean non, la fonction cURL n'est pas forcément pour les sites sécurisés.
En fait elle remplace la fonction file_get_contents pour récupérer des fichiers de manières sécurisées sur un serveur autre que celui d’où la fonction est appelée, en clair sur un serveur autre que le sien.
Normalement, depuis PHP7, la fonction file_get_contents n’est plus supportée si l'on va chercher un fichier sur un autre serveur. Dans le cas présent, on va chercher des fichiers, xml de surcroit, sur le serveur de Météo France.
Pour moi ça a été vraiment effectif depuis que je suis passé à PHP 7.4. Cependant cette fonction reste accessible si l'on charge un fichier sauvegardé sur son propre serveur.
La raison pour laquelle cette fonction ne fonctionne plus est que l'option PHP allow_url_fopen, dans la config de PHP est désactivée.
Certain FAI permettent de réactiver cette option. Mais sur les serveurs mutualisés, c'est totalement impossible.
Pourquoi? Parce que en activant allow_url_fopen, on créé sur le serveur, une faille de sécurité permettant les attaques de type XSS (injection de code).
A+
Pascal
J'arrive un peu après la guerre.
Jean non, la fonction cURL n'est pas forcément pour les sites sécurisés.
En fait elle remplace la fonction file_get_contents pour récupérer des fichiers de manières sécurisées sur un serveur autre que celui d’où la fonction est appelée, en clair sur un serveur autre que le sien.
Normalement, depuis PHP7, la fonction file_get_contents n’est plus supportée si l'on va chercher un fichier sur un autre serveur. Dans le cas présent, on va chercher des fichiers, xml de surcroit, sur le serveur de Météo France.
Pour moi ça a été vraiment effectif depuis que je suis passé à PHP 7.4. Cependant cette fonction reste accessible si l'on charge un fichier sauvegardé sur son propre serveur.
La raison pour laquelle cette fonction ne fonctionne plus est que l'option PHP allow_url_fopen, dans la config de PHP est désactivée.
Certain FAI permettent de réactiver cette option. Mais sur les serveurs mutualisés, c'est totalement impossible.
Pourquoi? Parce que en activant allow_url_fopen, on créé sur le serveur, une faille de sécurité permettant les attaques de type XSS (injection de code).
A+
Pascal