Меню
Что нового?

Ограничение прав include с чужого сервера

mail_makc

aka MaxGR
Ограничение прав include с чужого сервера

Доброго времени суток!

Приходится в проект вставить через
include("http://server/code.php")
чужой скрипт.
Но есть опасения на "доброкачественность" кода - вдруг найдутся желающие поменять удаленный код на какой-либо вредный (хакеры какие или программеры ихние). Эдак воткнут какой-нибудь phpRemoteView на сервак мне...

Подскажите можно ли как-то ограничить действие подключаемого таким образом скрипта?
Все что пока пришло в голову: это перед include сильно ограничить все real-time настройки PHP, а после инклуда восстанавливать их.
http://www.php.net/manual/en/function.ini-set.php

Хотя бы ограничить дисковые операции для скрипта... Дабы не форматнули и не потерли...

Вопрос задается сюда, так как ОС Windows 2000 Server... :)
 

Demiurg

Guest
>Приходится в проект вставить через
может все же есть другие способы ?
 

mail_makc

aka MaxGR
Сорри... недопер сразу что include мне возвращает РЕЗУЛЬТАТ работы скрипта... А не сам скрипт у меня выполняется...

Вопрос снят...

Остается только вопрос для расширения знаний: можно ли настройками PHP ограничить дисковые операции для скриптов, выполняемых на моей машине, для своих то есть?
 
Falc

Falc

Новичок
mail_makc
>>а после инклуда восстанавливать их.

не подумал о том что внутри инклуда их можно опять включить?
 
fixxxer

fixxxer

К.О.
Партнер клуба
Сорри... недопер сразу что include мне возвращает РЕЗУЛЬТАТ работы скрипта... А не сам скрипт у меня выполняется...
Нажмите для раскрытия...
хехе. :)
а попробуй так.

1) На site.ru размести test.php
PHP: 
<?echo "<? phpinfo(); ?>"?>
2) у себя include "http://site.ru/test.php"

-~{}~ 10.06.04 17:12:

В общем,
PHP: 
echo file_get_contents("http://site.ru/script.php")
спасёт отца русской демократии.

Хотя так вообще делать не следует.
 

mail_makc

aka MaxGR
А почему не стоит так делать? Какие могут быть проблемы?
Попробовал - вроде отрабатывает...
 

Demiurg

Guest
mail_makc
что у тебя в том файле, который ты пытаешься удаленно открыть ?
 

mail_makc

aka MaxGR
Это автоматическая система обмена ссылками, для повышения индекса цитируемости - подключаемый PHP-файл содержит каталог сайтов установивших на меня ссылку через вышеназванную систему (этот PHP-код отрабатывает на удаленном сервере формируя для меня соответсвующую информацию и кидает ее мне, мне остается только ее вывести у себя).

Но так как лучше предохраняться, то хотелось бы ограничить возможности include, чтобы не подсунули какой-либо пакости...

Пока - echo file_get_contents - помогает, но заинтересовала твоя фраза - "Хотя так вообще делать не следует." Что это означало? Какие могут быть проблемы?

-~{}~ 11.06.04 10:01:

http://www.links.maestroweb.net/rus/

Это вышеупоминаемая система... Может пригодится кому-нибудь (только не надо меня пинать ногами - это не реклама). :)

Народ говорит что за пару недель можно тематический индекс цитируемости поднять в среднем на сотню баллов. Яндексу & Co это нравится.
 

Demiurg

Guest
когда ты делаешь инклуд удаленного файла php открывает этот файл, потом интерпретирует. В случае же с file_get_contents данные просто передаются в выходной поток.
 

mail_makc

aka MaxGR
Да все это я понял из описания... :)
Единственное что не понял, так это твое предупреждение что так делать не следует... В чем опасность такого подхода?
 

Demiurg

Guest
смотри ответ фиксера.
В случае с инклудом у злоумышлеников появляется больше возможностей сделать что-то нехорошее.
 

lucas

Guest
Vasilich_sh

1. Ты дал кривой код.
2. Твой код НЕ является решением вышеуказанной проблемы.
3. Правильное решение проблемы было дано до тебя.

...так что лучше перенести твой код отсюда в /dev/null.
 
Войдите или зарегистрируйтесь для ответа.
Сверху