我有一个使用Concrete5的网站。
我需要允许客户端访问子页面域\块。
问题是,如果具有此权限的人创建了一个Block并输入了一些代码,如:
file_get_contents('C:\xampp\htdocs\somefile.php');
他将获得该网站的源代码。
我正在尝试使用suhosin扩展来阻止某些功能:
在php.ini中
suhosin.executor.func.blacklist = ""
在httpd-xampp.conf中
<Directory "C:/xampp/htdocs/blocks">
php_admin_value suhosin.executor.func.blacklist "opendir, file_get_contents, phpinfo"
</Directory>
问题是这不起作用。 由于Concrete5使用index.php来管理所有url连接。
基本上在拨打网址时:www.domain.com/somepage/title; 这只是一个例子,实际上叫做:
C:/xampp/htdocs/index.php/somepage/title
然后concrete5将其转换为CMS并最终调用块代码。
由于调用是域的根,因此它可以访问所有php函数。
我只是想保护网站的其他部分。