Diese Funktion wurde aus Sicherheitsgründen deaktiviert. Daher können keine Dateien von externen Seiten importiert werden. Lokale Einbindungen sind jedoch wie gewohnt möglich.
Als Alternative können Sie die fsockopen() Funktion nutzen. Informationen dazu finden Sie im PHP Manual.
Weitere Hinweise zur o.g. Funktion:
Durch Schwachstellen kann ein Angreifer beliebigen Skript-Code in betroffene PHP-Skripte einfügen. Der Angreifer benötigt einen eigenen Webserver, um den Code bereitszustellen, der in die PHP-Skripte eingefügt wird.
Gemäß Meldungen wurden auf kompromittierten Systemen IRC-Bots installiert, mittels derer die Systeme ferngesteuert und zum Beispiel als
Warez-FTP-Server oder für die Durchführung von DDoS Attacken werden können.
Betroffen sind Webserver, wenn in der Konfiguration php.ini die Option
"allow_url_fopen = on"
gesetzt ist und zusätzlich ein PHP-Skript aufgerufen werden kann,
das dynamisch Code auf unsichere Weise nachlädt, z.B. mittels
if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}
Die oben genannte Option bewirkt, dass Aufrufe der Funktion fopen()
über einen URL-Wrapper durchgeführt werden. D.h. anstelle eines
Pfades im lokalen Dateisystem kann eine URL auf einem entfernten
Webserver angegeben werden. Die include Anweisung bindet in diesem
Fall den Skript-Code ein, der nach einem HTTP-Request der URL von dem
entfernten Webserver zurückgegeben wird.
Ein Angreifer kann diese Klasse von Schwachstellen mittels eines
speziell konstruierten HTTP Get-Requests ausnuzten, in dem eine URL
auf einen vom Angreifer kontrollierten Webserver beinhaltet ist.
Aus den o.g. Gründen ist auf unseren Server die Option "allow_url_fopen" deaktiviert.