Concrete5 を使用した Web サイトがあります。
クライアントがサブページ domain\blocks にアクセスできるようにする必要があります。
問題は、この権限を持つ人がブロックを作成し、次のようなコードを配置した場合です。
file_get_contents('C:\xampp\htdocs\somefile.php');
彼はウェブサイトからソースコードを入手します。
suhosin 拡張機能を使用して一部の機能をブロックしようとしています。
php.ini で
suhosin.executor.func.blacklist = ""
httpd-xampp.conf 内
<Directory "C:/xampp/htdocs/blocks">
php_admin_value suhosin.executor.func.blacklist "opendir, file_get_contents, phpinfo"
</Directory>
問題は、これが機能していないことです。Concrete5 では index.php を使用してすべての URL 接続を管理しています。
基本的に、URL への呼び出し: www.domain.com/somepage/title; これは単なる例であり、実際には次のように呼ばれます。
C:/xampp/htdocs/index.php/somepage/title
次に、concrete5 はそれを CMS に変換し、最終的にブロック コードを呼び出します。
呼び出しはドメインのルートに対するものであるため、すべての php 関数にアクセスできます。
Web サイトの残りの部分を保護したいだけです。