Включая удаленный файл php как ресурс

Question

Я пытаюсь включить удаленные php-файлы в качестве ресурса, но у меня есть немного проблем. Я зашел в файлы php.ini и установил allow_url_fopen в ON. Я также искал параметр allow_url_include, но его не было в файле, я добавил его в файл php.ini и также установил его.

Если я пытаюсь включить с помощью

include ('http://somewebsite.com/lib/somescript.php'); 

Сервер/PHP выкладывает сообщение, говорящее:

URL доступ к файлам отключен в конфигурации сервера

I также получите сообщение:

не удалось открыть поток: нет подходящего обертка не может быть найден в бла-бла-бла

seconed путь Я пытаюсь acomplish тот же результат использует Еореп, но я просто получаю содержимое файла, то не что мне нужно Мне нужен мой локальный скрипт, чтобы увидеть удаленный сценарий в качестве исходного ресурса.

$myscript = fopen("http://someotherwebsite/lib/my_script.php", "r"); 
$incmyscript= fread($myscript , 9999); 
fclose($myscript); 
// include in the contents of my_script.php  
echo $incmyscript; 

Должен ли я что-то делать неправильно? Я знаю, что эхоизменение переменной-incmyscript неверно, но я не могу придумать, как разместить код. Я не уверен, что fopen - лучший лучший способ получить то, что я хочу.

Любые идеи?

Answer 1

Вместо эхо вы могли бы использовать это:

eval($incmyscript); 

Но будьте осторожны, это очень плохая практика! ПРОЧТИТЕ ЭТО: http://php.net/manual/en/function.eval.php

Answer 2

Вместо echo, вы можете использовать eval.

Только сделайте это, если вы хотите выполнить PHP-код с другого сервера, а не только для того, чтобы просто включить HTML!

Даже если вы действительно хотите выполнить PHP-код с другого сервера, человек-в-середине может выполнить произвольный PHP-код на вашем сервере. Поэтому вам следует лучше использовать HTTPS или вообще не включать удаленный файл.

Пример:

$myscript = fopen("https://someotherwebsite/lib/my_script.php", "r"); 
$incmyscript= fread($myscript , 9999); 
fclose($myscript); 
$incmyscript); 

Answer 3

Если вы можете доверять удаленный скрипт, то вы можете позвонить eval:

eval ($incmyscript); 

Answer 4

1. Если http://somewebsite.com/lib/somescript.php обслуживается сервером с поддержкой PHP вы пытаетесь включить его вывод, а не сам код! В противном случае это просто неправильно и может рассматриваться как дыра в безопасности!
2. Что вы пытаетесь сделать, это открыть главное отверстие безопасности!

Answer 5

Если удаленный сервер настроен на обработку файлов .php, вы не сможете получить источник для него. Сервер будет обрабатывать PHP, а затем возвращать любой вывод. Если получить удаленные источники PHP можно, хакеры будут захватывать наш код и искать уязвимости слишком легко!

Answer 6

сообщения вы получаете:

URL file-access is disabled in the server configuration 

Указует, что установка allow_url_include в вашем php.ini установлена ​​значением Выкл. Включение этой опции позволит вам делать удаленное включение файлов, но будьте очень осторожны с этим, так как это довольно большой риск для безопасности, если другой сайт будет скомпрометирован (хакер может легко ввести свой собственный удаленный код на ваш сайт).