allow_url_include 如果打开,则可以include远程文件 这是个很古老的安全问题了,今天做了下实验,才意识到危害性。 以前一位include 只是取到静态html内容,把它原样输出,没想到它会对获取倒内容中的php代码进行解释执行,很危险。 机器a上:

wang@wang-desktop:~/www$ cat inc.php

EOF
?>

然后在另一台机器b上:

+39@~ php a.php 
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
……

应该把它禁掉:

wang@wang-desktop:~/ws$ php -i|grep allow_url_include
allow_url_include => Off => Off

几篇文章供参考: Getting data without risking death [PHP 5.2.0 and allow_url_include](http://blog.php-security.org/archives/45-PHP-5.2.0-and- allow_url_include.html)