我们有几个开发人员要求在我们的服务器上启用 allow_url_fopen
。这些天的规范是什么,如果启用 libcurl
真的有什么好的理由允许吗?
环境是:Windows 2003,PHP 5.2.6,FastCGI
最佳答案
我认为答案归结为您对开发人员负责任地使用该功能的信任程度如何?来自外部 URL 的数据应该像任何其他不受信任的输入一样对待,只要理解这一点,有什么大不了的?
我的看法是,如果您像对待 child 一样对待您的开发人员并且从不让他们处理尖锐的东西,那么您将拥有永远不会学会编写安全代码的责任的开发人员。
关于php - 我应该在 PHP 中允许 'allow_url_fopen' 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/127534/