php中的allow_url_include

allow_url_include 如果打开，则可以include远程文件 这是个很古老的安全问题了，今天做了下实验，才意识到危害性。 以前一位include 只是取到静态html内容，把它原样输出，没想到它会对获取倒内容中的php代码进行解释执行，很危险。 机器a上：

wang@wang-desktop:~/www$ cat inc.php

EOF
?>

然后在另一台机器b上：

+39@~ php a.php 
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
……

应该把它禁掉：

wang@wang-desktop:~/ws$ php -i|grep allow_url_include
allow_url_include => Off => Off

几篇文章供参考： Getting data without risking death [PHP 5.2.0 and allow_url_include](http://blog.php-security.org/archives/45-PHP-5.2.0-and- allow_url_include.html)