Ciao a tutti,
qualcuno sa se è possibile includere un file php residente in un dominio diverso da quello dello script.php che esegue il comando include?
espempio:
include('http://altrodominio.com/lib/file.php');
Dipende dai provider o è cosa non contemplata nel mondo php?
Il motivo per cui mi pongo la domanda è che non voglio fornire al mio cliente il file.php.
Spero in un vostro aiuto.
Grazie
Guidino
puoi farlo se l'impostazione allow_url_fopen e' true
si, è possibile. Condizione che la direttiva allow_url_include del php.ini sia attivata
PHP LEARN - Guide, tutorial e articoli sempre aggiornati
NUOVO: standardLib; il potente framework PHP é ora disponibile
*******************************************
Scarica oggi la tua copia di MtxEventManager
di default é TRUE. Però é vero se così non fosse, non serivrebbe a nulla impostare allow_url_include su true in quanto ne é dipendente.Originariamente inviato da bubi1
puoi farlo se l'impostazione allow_url_fopen e' true
Quindi
allow_url_include
allow_url_fopen
su true
PHP LEARN - Guide, tutorial e articoli sempre aggiornati
NUOVO: standardLib; il potente framework PHP é ora disponibile
*******************************************
Scarica oggi la tua copia di MtxEventManager
Scusate se mi intrometto, ma qusta cosa mi pare inconcepibile: se fosse possibile includere pagine php da domini remoti, chiunque potrebbe ad esempio includere un file di connessione a database e accedere al database mysql di un altro dominio.
Visti tutti i protocolli di sicureza del php mi sembra strano che tutto ciò sia consentito.
Vi ringrazio,
non credo che sul dominio in questione possa modificare il valore di allow_url_fopen e allow_url_include.
Mi date qualche suggerimento per proteggere iil file.php?
La versione PHP è la 5.2.3
Voi quale strategia adottate?
Grazie
Guidino
Beh, lui ha chiesto se si poteva includere. E si, puoi includere quello che vuoi.Originariamente inviato da quit10
Scusate se mi intrometto, ma qusta cosa mi pare inconcepibile: se fosse possibile includere pagine php da domini remoti, chiunque potrebbe ad esempio includere un file di connessione a database e accedere al database mysql di un altro dominio.
Visti tutti i protocolli di sicureza del php mi sembra strano che tutto ciò sia consentito.
Poi il fatto che verra' incluso comunque l'output del webserver remoto e non il sorgente del file, e' un altro discorso.
guidino, ora si e' capito cosa ti serve. Non otterrai quello che vuoi includendo un file remoto.
Puoi proteggere il tuo file in 2 modi:
1. Protezione 100% - lo codifichi con zend encoder, ioncube encoder (entrambi a pagamento)
2. Protezione solo contro ignoranti - lo offuschi con trucchetti che si vedono in giro, base64, gzencode e altro. Cerca su google php obfuscation.
Grazie della riposta bubi1.
Il perchè della mia domanda era già nel primo post, niente di misterioso.
"Il motivo per cui mi pongo la domanda è che non voglio fornire al mio cliente il file.php."
Riguardo alla codifica che tu indichi, se hai provato i software sai dirmi se i file oggetto risentono in termini di velocità e se zend encoder e ioncube encoder sono affidabili al 100% con la versione di php 5.2.3 che utilizzo?
Grazie ancora e buona domenica
Guidino
Dunque le vulnerabilità di tipo RFI non esistonoOriginariamente inviato da quit10
Scusate se mi intrometto, ma qusta cosa mi pare inconcepibile: se fosse possibile includere pagine php da domini remoti, chiunque potrebbe ad esempio includere un file di connessione a database e accedere al database mysql di un altro dominio.
Visti tutti i protocolli di sicureza del php mi sembra strano che tutto ciò sia consentito.
PHP LEARN - Guide, tutorial e articoli sempre aggiornati
NUOVO: standardLib; il potente framework PHP é ora disponibile
*******************************************
Scarica oggi la tua copia di MtxEventManager
Io uso solo ioncube. Non ho avuto problemi di velocita'.Originariamente inviato da guidino
Grazie della riposta bubi1.
Il perchè della mia domanda era già nel primo post, niente di misterioso.
"Il motivo per cui mi pongo la domanda è che non voglio fornire al mio cliente il file.php."
Riguardo alla codifica che tu indichi, se hai provato i software sai dirmi se i file oggetto risentono in termini di velocità e se zend encoder e ioncube encoder sono affidabili al 100% con la versione di php 5.2.3 che utilizzo?
Grazie ancora e buona domenica
Per quanto riguarda il resto, io al posto tuo non mi preoccuperei dell'affidabilita' dell'encoder. Mi preoccuperei invece del fatto che uso una versione php vecchia di 3 anni.
Se invece vuoi solo sapere se sono compatibili.. beh, non so zend, ma ioncube conserva una retrocompatibilita' fino al php 4.1
Permessi di invio
Rispondi quotando