Нарушения связности и искривление пространственно-временного континуума в мультфильме “Винни-П

[dil]

http://burrarum.livejournal.com/52064.html

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Comments

[pash7ka.livejournal.com]

Однако, для пряморуких, но ленивых - это очень удобный способ по быстрому прочитать что-нить с удалённого серевера. Никаких HTTP/FTP запросов, никаких проблем, делаешь file_get_contents() и ни о чём лишнем не думаешь. :) Я конечно понимаю, что с PEAR::Http_Client возни немногим больше, и тем не менее.

[dil.livejournal.com]

не, ну зачем это изначально придумали - понятно.
мне интересно, решился ли ещё кто-нибудь реализовать такую потенциально опасную штуку

[pash7ka.livejournal.com]

Если уж быть последовательным, то схема file:// является потенциально опасной и всё что её поддерживает - потенциально уязвимо.
Так в Java можно сделать:
FileReader fr = new FileReader(new File(new URI("http://example.com")));
не знаю не выдаст ли это какую-нибудь Exception, но в теории так можно.
А значит криворукий программист вполен может ради универсальности или ещё х знает чего написать подобную штуку.

[dil.livejournal.com]

а любая схема является потенциально опасной. но fopen должен открывать файлы, а не что попало. для всего остального должен существовать отдельный метод, например, какой-нибудь schema_open, чтобы программист, его используя, ясно осознавал, чтО делает

[pash7ka.livejournal.com]

Согласен.
P.S. Проверил исходники класса File, там таки запрещены любые схемы кроме "file". :)

[some41.livejournal.com]

fopen() тут почти не причем, 99% RFI идет из include(), а вот в нем это уже точно лишняя фича

[dil.livejournal.com]

та же фигня по сути