ما هي خطورة تفعيل دالة tempnam

[bilba]

السلام عليكم

لدي سكريبت تحميل الملفات المضغوطة لا تعمل الا بازالة دالة tempnam
مدى خطورة تفعيل هذه الدالة ؟
4.4.6


Warning: tempnam() has been disabled for security reasons in /home/xxxxxx/public_html/includes/zip.php on line 71
Cannot get temporary file!

[bilba]

اكتشفت ان الدلة المسببة للمشكلة هي tmpfile
نرجع لنفس السؤال هل تفعيلها يسبب ثغرة او خطورة ؟

اصدار php هو 4.4.6

[bilba]

قال رسول الله صلي الله عليه و سلم (لا خير في كاتم العلم )

[حسن البلوي]

انا بحثت لك في بعض مواقع المبرمجين والخاصة بطرح مثل هذه المشاكل


وجدت لك التالي //


http://bugs.php.net/bug.php?id=15547&edit=1


هنا يقولون انها ثغرة .. لكن في نفس الوقت يقول انها لاتؤثر اذا كان السيف مود اون .

لكن في الاخير .. رد عليهم احد اعضاء php.net وقال هذه الثغرة تم اغلاقها .. فقط قم بتحديث الـphp الى اخر اصدار


This bug has been fixed in CVS. You can grab a snapshot of the
CVS version at http://snaps.php.net/. In case this was a documentation
problem, the fix will show up soon at http://www.php.net/manual/.
In case this was a PHP.net website problem, the change will show
up on the PHP.net site and on the mirror sites.
Thank you for the report, and for helping us make PHP better.



لكن لو تلاحظ هذا الرد قديم جدا في عام 2002 ..


ولكن في نسخة 4.4.3 عام 2006 شهر 8 .. ذكروا انه تم حلها :

PHP 4.4.3 Released
[03-Aug-2006] The PHP development team is proud to announce the release of PHP 4.4.3. This release combines small number of bug fixes and resolves a number of security issues. Some of the key changes of PHP 4.4.3 include:

Disallow certain characters in session names.
Fixed a buffer overflow inside the wordwrap() function.
Prevent jumps to parent directory via the 2nd parameter of the tempnam() function.
Improved safe_mode check for the error_log() function.
Fixed cross-site scripting inside the phpinfo() function.
Fixed offset/length parameter validation inside the substr_compare() function.
Upgraded bundled PCRE library to version 6.6
Over 20 various bug fixes.
Further details about this release can be found in the release announcement and the full list of changes is available in the PHP 4 ChangeLog.



وانا والله حاولت اجد لك احدث لكن لم اجد .. واللي وضح لي ان مافيه مشكله اذا تم تفعيله في حال ان السيف مود اون .. والشباب ماراح يقصرون معاك فانا لا افقه شي بجانبهم ..