allow_url_fopen
php.ini에 설정하며, PHP 스크립트에서 URL을 파일 시스템 함수로 열 수 있는지 여부를 제어합니다. 이 설정이 활성화되면 PHP의 파일 관련 함수들이 로컬 파일뿐만 아니라 HTTP, FTP 등의 URL을 통해 원격 파일에 접근할 수 있게 됩니다.
file_get_contents(), fopen(), include(), require() 등의 함수가 영향을 받을 수 있습니다.
조치 방법 1
# php.ini 에서 설정 끄기
allow_url_fopen = Off조치 방법 2
부득이 해당 설정을 제거할 수 없을 경우 apache vhost, ssl host 설정에서 해당 함수 영향을 받지 않는 특정 페이지 호스트 도메인에 적용하는 방법이 있습니다.
<VirtualHost *:80>
...
php_admin_flag allow_url_fopen Off
</VirtualHost>두 방법 모두 웹 서비스 재시작(restart|stop,start|graceful)을 해야 적용됩니다.
php_admin_flag, php_admin_value
apache 호스트 도메인에 대한 php 설정 값을 추가하는 설정으로 flag는 boolean (On/Off) 관련 옵션을, value는 특정 값을 지정할 수 있습니다.
👩🏫 ※ 보안 관련 부분에 대해 틀린 부분이 있거나 더 나은 보완설정이 있다면 언제든지 댓글로 달아주시면 감사합니다.
Raiju Hantu Goryo Obake