Includere File da altro server

[GoshMaledetto]

Ciao ragazzi volevo creare un file con delle funzioni php che utilizzo spesso esempio validazione mail visualizzazione data ecc. questo file risiederà sul server del mio sito ma ovviamente vorrei poterlo utilizzare anche sui siti dei miei clienti in modo che se devo modificare qualcosa in automatico mi modifica tutti i siti che gestisco. quale funzione php devo utilizzare per includerlo? basta un

include "http://www.mio_sito.com/file.php"

o devo usare qualche altra funzione?

 

[Nefyt]

La soluzione più veloce è quella di ricavare il codice remoto e di eseguirlo direttamente dove ti serve, anche se è sempre meglio utilizzare una path locale, perché nel caso che il tuo sito non andasse o che il file venga rimosso non andranno anche i progetti dei tuoi clienti

Esempio

$php = file_get_contents('http://sito.com/file.txt');

eval($php);

Prova::ciao();

file.txt

class Prova{

    public static function ciao(){
         echo 'Funziona lol';
     }

}

 

[alessandro1997]

Non è assolutamente una soluzione accettabile. Se vuoi distribuire e usare delle tue librerie mettile sotto controllo di versione (leggi questo manuale), crea un account su GitHub e aggiungile ai tuoi progetti come sottomoduli.

 

[GoshMaledetto]

momento momento momento xD mi devo leggere il manuale perche sto git non lo conosco e non so che dire grazie delle info adesso provo e vi dico

 

[GoshMaledetto]

Non è assolutamente una soluzione accettabile. Se vuoi distribuire e usare delle tue librerie mettile sotto controllo di versione (leggi questo manuale), crea un account su GitHub e aggiungile ai tuoi progetti come sottomoduli.

scusa alessandro ma non ho ben capito a cosa mi puo servire sto git. ho letto delle guide ( in italiano ) ma non sono bene riuscito a capire i vantaggi. Vero condivido e posso confrontarmi con programmatori di tutto il mondo,posso recuperare vecchie versioni ma non ho capito come puo aiutarmi questa cosa...poi sicuro mi sono perso qualcosa

 

[alessandro1997]

Git è un sistema di controllo di versione e con la tua domanda non c'entra granché. Ma GitHub è un sito Web dove puoi caricare tutti i tuoi progetti Git (comprese dunque le librerie che userai nei siti), per poterli poi recuperare da qualunque posizione. Potrai includere le librerie nei siti dei tuoi clienti e poi, quando le aggiornerai, basterà scaricare la nuova versione con un comando. Git farà tutto automaticamente.

 

[Nefyt]

Propongo un'altra soluzione possibile (senza complicarsi la vita con documentazioni esterne ernacchi)

Abilitando nella configurazione allow_url_include è possibile fare un piccolo sistema di gestione remota
(ti consiglio di tenerlo sempre disabilitato se non richiami pagine inerenti ai tuoi siti)

Esempio

if(include('http://sito.com/getFile.php?project=sito1&file=file.php&auth=mypassword'))
    Prova::ciao();

getFile.php remoto

define('PASSWORD','mypassword');
define('PROJECT_DIR','Projects');

if(!empty($_GET['auth']) && !empty($_GET['file']) && !empty($_GET['project'])){
    $path = PROJECT_DIR.'/'.$_GET['project'].'/'.$_GET['file'];
            if($_GET['auth']==PASSWORD && file_exists($path))
                echo file_get_contents($path);
}

Projects/sito1/file.php

class Prova{

      public static function ciao(){
          echo 'Funziona lol';
      }
}

(questa è una base, ovviamente migliorabile aggiungendo più controlli e a seconda delle tue esigenze)

 

[GoshMaledetto]

ooook grazie ragazzi se avroulteriori dubbi mi farò sentire

 

[alessandro1997]

Includere un file da remoto significa che:

• l'esecuzione dell'applicazione è notevolmente rallentata, perché ogni volta lo script deve connettersi e scaricare i dati;
• un utente malintenzionato che riesce ad accedere al server ospitante il file potrebbe modificarlo per far eseguire codice arbitrariamente;
• un utente malintenzionato potrebbe scaricare il file sfruttando una qualche falla nel tuo sistema, ottenendo così informazioni sulla tua infrastruttura;
• un utente malintenzionato potrebbe eseguire codice arbitrario tramite RFI;

Questa soluzione non è mai stata adottata perché, evidentemente, ci sono dei validi motivi.

Guarda anche qui:

• http://stackoverflow.com/questions/1158348/including-a-remote-file-in-php
• http://stackoverflow.com/questions/8744156/including-a-remote-php-file-as-a-resource

Se ricordo bene a partire da PHP 5.2 la direttiva allow_url_include è disabilitata di default proprio per ragioni di sicurezza.

 

[Nefyt]

Infatti non è uno dei migliori ma semplicemente una possibile soluzione per progetti privati

l'esecuzione dell'applicazione è notevolmente rallentata, perché ogni volta lo script deve connettersi e scaricare i dati;

Dipende da quanto è esteso l'output ricavato e come viene elaborato

un utente malintenzionato che riesce ad accedere al server ospitante il file potrebbe modificarlo per far eseguire codice arbitrariamente;

Questo dipende dai controlli che vengono effettuati e da altri fattori di vulnerabilità che permettono di accederci

un utente malintenzionato potrebbe scaricare il file sfruttando una qualche falla nel tuo sistema, ottenendo così informazioni sulla tua infrastruttura

Idem per questo

un utente malintenzionato potrebbe eseguire codice arbitrario tramite RFI;

E anche per questo

Anche una semplice query puo far saltare l'intero sito se non è sicura, ma non per questo non si puo utilizzare un database.

Basta fare molti controlli e utilizzarlo solamente dove si è sicuri sennò ovviamente è meglio tenerlo disabilitato

 

[GoshMaledetto]

ehm mi state confondendo O_O

 

[alessandro1997]

Dipende da quanto è esteso l'output ricavato e come viene elaborato

In parte, e in parte dalla latenza della connessione.

Questo dipende dai controlli che vengono effettuati e da altri fattori di vulnerabilità che permettono di accederci

Fattori del tutto imprevedibili: il PC di uno sviluppatore infetto da spyware o chissà che altro, e improvvisamente tutti i siti dei clienti smettono di funzionare o, peggio ancora, fungono da veicolo per la distribuzione di software dannoso. Non è un evento per niente raro.

Qualche altro articolo che scoraggia questa tecnica:

• http://phpsec.org/projects/phpsecinfo/tests/allow_url_include.html
• http://blog.php-security.org/archives/45-PHP-5.2.0-and-allow_url_include.html
• http://wiki.dreamhost.com/Allow_url_include

L'ultimo articolo porta alla luce anche un altro problema che non avevo individuato: se per qualche motivo il tuo script non dovesse riuscire a raggiungere il server ospitante il file, smetterà di funzionare.

 

[Nefyt]

In parte, e in parte dalla latenza della connessione.


Fattori del tutto imprevedibili: il PC di uno sviluppatore infetto da spyware o chissà che altro, e improvvisamente tutti i siti dei clienti smettono di funzionare o, peggio ancora, fungono da veicolo per la distribuzione di software dannoso. Non è un evento per niente raro.

Qualche altro articolo che scoraggia questa tecnica:

• http://phpsec.org/projects/phpsecinfo/tests/allow_url_include.html
• http://blog.php-security.org/archives/45-PHP-5.2.0-and-allow_url_include.html
• http://wiki.dreamhost.com/Allow_url_include

L'ultimo articolo porta alla luce anche un altro problema che non avevo individuato: se per qualche motivo il tuo script non dovesse riuscire a raggiungere il server ospitante il file, smetterà di funzionare.

Ripeto, non è delle migliori, ma è possibile fare anche cosi per piccoli progetti con siti sicuri.
Gli spyware o altri software malevoli simili ci sono se l'utente è un utonto, sennò è facilmente evitabile.

Comunque se avesse solo lati negativi sarebbe già stata tolta, io ho solo fatto vedere che c'è anche quella possibilità.

 

[alessandro1997]

Purtroppo la presenza di lati negativi non è qualcosa da tenere in considerazione nell'ecosistema PHP. Ci sono state diverse feature che presentavano solo lati negativi (register_globals e magic_quotes_gpc solo per dirne alcune) e non sono state rimosse per lungo tempo. Nello specifico nessuna delle due che ho citato è stata ancora tolta (register_globals è stata rimossa nella 5.4 che ancora non è usata da nessuno).

 

[Nefyt]

Purtroppo la presenza di lati negativi non è qualcosa da tenere in considerazione nell'ecosistema PHP. Ci sono state diverse feature che presentavano solo lati negativi (register_globals e magic_quotes_gpc solo per dirne alcune) e non sono state rimosse per lungo tempo. Nello specifico nessuna delle due che ho citato sono ancora state tolte.

Sono state tolte dalla 5.4 entrambe mi pare, inoltre quelle appartengono alla vecchia generazione(procedurale e only mysql).

Comunque per quanto sia criticata (allow_url_include), non la trovo cosi pericolosa, forse è l'abitudine di molti a non fare controlli ad averla resa tale, d'altronde non sarebbe ancora cosi diffusa l'sql injection se ciò che ho detto non fosse vero.

 

[GoshMaledetto]

scusate gladiatori quindi io che faccio?

 

[alessandro1997]

Se decidi di usare allow_url_include prendi atto di adottare una tecnica mai vista prima in nessuna applicazione PHP seria.