@alcaeus:
Wenn der Server dir gehört kannst du den natürlich so konfigurieren. Ich farge mich zwar, warum du den url-warpper ausschalten willst (warum Möglichkeiten nehmen? Wenn du es nicht brauchst, benutz es eben nicht. Ich benutze die auch nirgends im Produktiveinsatz. Aber mal eben schnell um was zu testen, können die verdammt praktisch sein), aber vorallem meine ich den Safe Mode.
Wenn du noch 10 andere Deppen hast, die sich den Server mit dir teilen, sollen die ja nicht in der Lage sein mit php an Systemdatei zu kommen. Oder auch nicht an die php-Dateien der anderen User usw. usw.

Und jetzt bin ich mal gespannt, wie du das ohne Safe Mode unterbinden willst.

@yankee: indem ich das nicht auf PHP-Ebene, sondern auf server-Ebene verbiete. So soll der Webserver-Benutzer keinen Zugriff auf die Passwort-Datei haben, etc.

allow_url_fopen auf aus ist ne Sicherheitsmassnahme, die man aber auch net unbedingt braucht - die Funktionalitaet die man dadurch verliert kann man sich bspw. mit fsockopen() nachbilden.
BTW, PHP6 wird den Parameter trennen: allow_url_fopen gilt nur noch fuer fopen(), fuer include, require, und die jeweiligen _once-Pendants gibts allow_url_include. include() ist uebrigens der Grund, warum ich es sicherheitshalber deaktiviere - Remote Code Execution ist dadurch unmoeglich.

Greetz
alcaeus

In der Theorie stimmt das. Aber in der Praxis hast du bei Linux bei jedem Mist ja meistens erstmal Leserechte für alle. Und für viele Dateien ist das ja auch wichtig. In der /etc/passwd stehen ja nicht nur Passwörter sondern sind die id->name zuordnungen, die jeder braucht. Gut, dafür gibt es die shadowdatei, aber es gibt nur viel zu viele Informationen, die man über ein anzugreifendes System so herausbekommt .
eval(file_get_contents('http://...')); ?
Oder eben ein etwas komplizierterer Nachbau über sockets. Es geht jedenfalls auch ohne include.
Mal abgesehn davon: Wenn du es einmal geschafft hast den RemoteExecution-Auslöse-Code in deinen qt zu bekommen... Dann bekomtm der angreife auch so alles da rein, was er will .