Includere File da altro server

GoshMaledetto · 15 Gen 2013

Ciao ragazzi volevo creare un file con delle funzioni php che utilizzo spesso esempio validazione mail visualizzazione data ecc. questo file risiederà sul server del mio sito ma ovviamente vorrei poterlo utilizzare anche sui siti dei miei clienti in modo che se devo modificare qualcosa in automatico mi modifica tutti i siti che gestisco. quale funzione php devo utilizzare per includerlo? basta un

PHP:

include "http://www.mio_sito.com/file.php"

o devo usare qualche altra funzione?

Nefyt · 15 Gen 2013

La soluzione più veloce è quella di ricavare il codice remoto e di eseguirlo direttamente dove ti serve, anche se è sempre meglio utilizzare una path locale, perché nel caso che il tuo sito non andasse o che il file venga rimosso non andranno anche i progetti dei tuoi clienti

Esempio

PHP:

$php = file_get_contents('http://sito.com/file.txt');

eval($php);

Prova::ciao();

file.txt

Codice:

class Prova{

    public static function ciao(){
         echo 'Funziona lol';
     }

}

alessandro1997 · 15 Gen 2013

Non è assolutamente una soluzione accettabile. Se vuoi distribuire e usare delle tue librerie mettile sotto controllo di versione (leggi questo manuale), crea un account su GitHub e aggiungile ai tuoi progetti come sottomoduli.

GoshMaledetto · 15 Gen 2013

momento momento momento xD mi devo leggere il manuale perche sto git non lo conosco e non so che dire grazie delle info adesso provo e vi dico

GoshMaledetto · 15 Gen 2013

alessandro1997 ha scritto:
Non è assolutamente una soluzione accettabile. Se vuoi distribuire e usare delle tue librerie mettile sotto controllo di versione (leggi questo manuale), crea un account su GitHub e aggiungile ai tuoi progetti come sottomoduli.

scusa alessandro ma non ho ben capito a cosa mi puo servire sto git. ho letto delle guide ( in italiano ) ma non sono bene riuscito a capire i vantaggi. Vero condivido e posso confrontarmi con programmatori di tutto il mondo,posso recuperare vecchie versioni ma non ho capito come puo aiutarmi questa cosa...poi sicuro mi sono perso qualcosa

alessandro1997 · 15 Gen 2013

Git è un sistema di controllo di versione e con la tua domanda non c'entra granché. Ma GitHub è un sito Web dove puoi caricare tutti i tuoi progetti Git (comprese dunque le librerie che userai nei siti), per poterli poi recuperare da qualunque posizione. Potrai includere le librerie nei siti dei tuoi clienti e poi, quando le aggiornerai, basterà scaricare la nuova versione con un comando. Git farà tutto automaticamente.

Nefyt · 15 Gen 2013

Propongo un'altra soluzione possibile (senza complicarsi la vita con documentazioni esterne ernacchi)

Abilitando nella configurazione allow_url_include è possibile fare un piccolo sistema di gestione remota
(ti consiglio di tenerlo sempre disabilitato se non richiami pagine inerenti ai tuoi siti)

Esempio

PHP:

if(include('http://sito.com/getFile.php?project=sito1&file=file.php&auth=mypassword'))
    Prova::ciao();

getFile.php remoto

PHP:

define('PASSWORD','mypassword');
define('PROJECT_DIR','Projects');

if(!empty($_GET['auth']) && !empty($_GET['file']) && !empty($_GET['project'])){
    $path = PROJECT_DIR.'/'.$_GET['project'].'/'.$_GET['file'];
            if($_GET['auth']==PASSWORD && file_exists($path))
                echo file_get_contents($path);
}

Projects/sito1/file.php

PHP:

class Prova{

      public static function ciao(){
          echo 'Funziona lol';
      }
}

(questa è una base, ovviamente migliorabile aggiungendo più controlli e a seconda delle tue esigenze)

GoshMaledetto · 15 Gen 2013

ooook grazie ragazzi se avroulteriori dubbi mi farò sentire

alessandro1997 · 15 Gen 2013

Includere un file da remoto significa che:

l'esecuzione dell'applicazione è notevolmente rallentata, perché ogni volta lo script deve connettersi e scaricare i dati;
un utente malintenzionato che riesce ad accedere al server ospitante il file potrebbe modificarlo per far eseguire codice arbitrariamente;
un utente malintenzionato potrebbe scaricare il file sfruttando una qualche falla nel tuo sistema, ottenendo così informazioni sulla tua infrastruttura;
un utente malintenzionato potrebbe eseguire codice arbitrario tramite RFI;

Questa soluzione non è mai stata adottata perché, evidentemente, ci sono dei validi motivi.

Guarda anche qui:

Se ricordo bene a partire da PHP 5.2 la direttiva allow_url_include è disabilitata di default proprio per ragioni di sicurezza.

Nefyt · 15 Gen 2013

Infatti non è uno dei migliori ma semplicemente una possibile soluzione per progetti privati

l'esecuzione dell'applicazione è notevolmente rallentata, perché ogni volta lo script deve connettersi e scaricare i dati;

Dipende da quanto è esteso l'output ricavato e come viene elaborato

un utente malintenzionato che riesce ad accedere al server ospitante il file potrebbe modificarlo per far eseguire codice arbitrariamente;

Questo dipende dai controlli che vengono effettuati e da altri fattori di vulnerabilità che permettono di accederci

un utente malintenzionato potrebbe scaricare il file sfruttando una qualche falla nel tuo sistema, ottenendo così informazioni sulla tua infrastruttura

Idem per questo

un utente malintenzionato potrebbe eseguire codice arbitrario tramite RFI;

E anche per questo

Anche una semplice query puo far saltare l'intero sito se non è sicura, ma non per questo non si puo utilizzare un database.

Basta fare molti controlli e utilizzarlo solamente dove si è sicuri sennò ovviamente è meglio tenerlo disabilitato

GoshMaledetto · 15 Gen 2013

ehm mi state confondendo O_O

alessandro1997 · 15 Gen 2013

Nefyt ha scritto:
Dipende da quanto è esteso l'output ricavato e come viene elaborato

In parte, e in parte dalla latenza della connessione.

Nefyt ha scritto:
Questo dipende dai controlli che vengono effettuati e da altri fattori di vulnerabilità che permettono di accederci

Fattori del tutto imprevedibili: il PC di uno sviluppatore infetto da spyware o chissà che altro, e improvvisamente tutti i siti dei clienti smettono di funzionare o, peggio ancora, fungono da veicolo per la distribuzione di software dannoso. Non è un evento per niente raro.

Qualche altro articolo che scoraggia questa tecnica:

L'ultimo articolo porta alla luce anche un altro problema che non avevo individuato: se per qualche motivo il tuo script non dovesse riuscire a raggiungere il server ospitante il file, smetterà di funzionare.

Nefyt · 15 Gen 2013

alessandro1997 ha scritto:
In parte, e in parte dalla latenza della connessione.

Fattori del tutto imprevedibili: il PC di uno sviluppatore infetto da spyware o chissà che altro, e improvvisamente tutti i siti dei clienti smettono di funzionare o, peggio ancora, fungono da veicolo per la distribuzione di software dannoso. Non è un evento per niente raro.

Qualche altro articolo che scoraggia questa tecnica:

http://phpsec.org/projects/phpsecinfo/tests/allow_url_include.html

http://blog.php-security.org/archives/45-PHP-5.2.0-and-allow_url_include.html

http://wiki.dreamhost.com/Allow_url_include

L'ultimo articolo porta alla luce anche un altro problema che non avevo individuato: se per qualche motivo il tuo script non dovesse riuscire a raggiungere il server ospitante il file, smetterà di funzionare.

Ripeto, non è delle migliori, ma è possibile fare anche cosi per piccoli progetti con siti sicuri.
Gli spyware o altri software malevoli simili ci sono se l'utente è un utonto, sennò è facilmente evitabile.

Comunque se avesse solo lati negativi sarebbe già stata tolta, io ho solo fatto vedere che c'è anche quella possibilità.

alessandro1997 · 15 Gen 2013

Purtroppo la presenza di lati negativi non è qualcosa da tenere in considerazione nell'ecosistema PHP. Ci sono state diverse feature che presentavano solo lati negativi (register_globals e magic_quotes_gpc solo per dirne alcune) e non sono state rimosse per lungo tempo. Nello specifico nessuna delle due che ho citato è stata ancora tolta (register_globals è stata rimossa nella 5.4 che ancora non è usata da nessuno).

Nefyt · 15 Gen 2013

alessandro1997 ha scritto:
Purtroppo la presenza di lati negativi non è qualcosa da tenere in considerazione nell'ecosistema PHP. Ci sono state diverse feature che presentavano solo lati negativi (register_globals e magic_quotes_gpc solo per dirne alcune) e non sono state rimosse per lungo tempo. Nello specifico nessuna delle due che ho citato sono ancora state tolte.

Sono state tolte dalla 5.4 entrambe mi pare, inoltre quelle appartengono alla vecchia generazione(procedurale e only mysql).

Comunque per quanto sia criticata (allow_url_include), non la trovo cosi pericolosa, forse è l'abitudine di molti a non fare controlli ad averla resa tale, d'altronde non sarebbe ancora cosi diffusa l'sql injection se ciò che ho detto non fosse vero.

GoshMaledetto · 16 Gen 2013

scusate gladiatori quindi io che faccio?

alessandro1997 · 16 Gen 2013

Se decidi di usare allow_url_include prendi atto di adottare una tecnica mai vista prima in nessuna applicazione PHP seria.

Includere File da altro server

GoshMaledetto

Utente Attivo

Nefyt

Utente Attivo

alessandro1997

Utente Attivo

GoshMaledetto

Utente Attivo

GoshMaledetto

Utente Attivo

alessandro1997

Utente Attivo

Nefyt

Utente Attivo

GoshMaledetto

Utente Attivo

alessandro1997

Utente Attivo

Nefyt

Utente Attivo

GoshMaledetto

Utente Attivo

alessandro1997

Utente Attivo

Nefyt

Utente Attivo

alessandro1997

Utente Attivo

Nefyt

Utente Attivo

GoshMaledetto

Utente Attivo

alessandro1997

Utente Attivo

Discussioni simili

Includere File da altro server

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Utente Attivo

Discussioni simili

Privacy & Transparency

Privacy & Transparency