Если файл с кодом со стороннего сайта подключен, то он выполнится

@Htext · Регистрация: 08.01.2015

Студворк — интернет-сервис помощи студентам

Подключен, например. при помощи include или requre_once
Есть ли возможности стороннему сайту защититься от этого? Кроме запрета доступа в .htaccess ?
Т.е. может ли сторонний сайт как-то запретить подключение его файлов РНР всеми желающими?

@Jewbacabra · 12.11.2017, 15:23

Сообщение от Htext

Подключен, например. при помощи include или requre_once

неверное утверждение. Будет сделан обычный http запрос, такой же как и ввести этот же url в браузере, и выведен полученный контент.

@Htext · 12.11.2017, 15:43 **[ТС]**

Сообщение от Jewbacabra

неверное утверждение

Я имел в виду, например, что на site1.ru имеется файл s1.php, в котором имеется строчка примерно такая:

PHP
1
require_once "Z:/home/site2.ru/www/s2.php";

Добавлено через 1 минуту
Допустим, известен полный путь до файла s2.php (узнать его - дело техники и времени), находящегося на сайте site2.ru .

Добавлено через 5 минут
Контент будет выведен, но так, как если бы файл s2.php находился на сайте site1.ru. Например,

PHP
1
echo  $_SERVER['DOCUMENT_ROOT'];

выдаст что-то типа Z:/home/site1.ru/www

Добавлено через 3 минуты
Сайты расположены на одном сервере, имею в виду.

@Jewbacabra · 12.11.2017, 15:57

Htext, https://secure.php.net/manual/... en-basedir

@Htext · 13.11.2017, 13:19 **[ТС]**

Да, но если ограничить доступ к каталогам с файлами РНР, тогда никто, и сам site2.ru (владелец файла) не сможет их использовать.
Вопрос в том, как запретить подгрузку и запуск файла РНР другим сайтам. Тогда как сайт-владелец, на котором находится этот файл, естественно, должен иметь возможность запускать его.

Добавлено через 5 минут
Т.е. понятно, что можно в .htaсcess разрешить доступ только с IP-адреса 127.0.0.1, но это как-то (...).

@Jewbacabra · 13.11.2017, 13:20

Htext, эти настройки можно задать каждому сайту отдельно

@Htext · 13.11.2017, 13:43 **[ТС]**

Сообщение от Jewbacabra

задать

site1.ru подгружает (путем подключения через requre_once) себе файл s2.php с сайта site2.ru.
Вопрос: какие настройки на сайте site2.ru надо сделать, чтобы запретить такую погрузку? При этом сам site2.ru должен иметь возможность подключать и использовать этот файл.
Функция open_basedir выполнит запрет для ОБОИХ сайтов, она не годится здесь.

@Jewbacabra · 13.11.2017, 13:53

Htext, в настройках виртуал хостов site1 добавить

Code
1
php_admin_value open_basedir /var/www/site1

В сайт2 соответственно будет другое значение.

Ps. Синтаксис конфига возможно несколько отличается, давно апачем не пользовался

@Htext · 13.11.2017, 15:07 **[ТС]**

Сообщение от Jewbacabra

в настройках виртуал хостов site1 добавить

Это если владелец сайта site1 сделает это сам. Вопрос в том - если он не будет этого делать.

Добавлено через 6 минут
Я тут посмотрел, предлагается 2 варианта, в общем случае: либо .htaccess, либо в каждый скрипт прописывать константы и при подключении скриптов проверять значения этих констант (передавая их в списке параметров); если значения не совпадают - прекращать работу скрипта.
Однако, если значение константы станет известным, site1.ru может добавить ее в список параметров. Так что это - полумера. Тем более, скрипт-то все равно подключается; то, что он, при несовпадении константы, прекратит работу - это уже немного другое дело.

Добавлено через 6 минут
Про константы, например, здесь описано: https://ruseller.com/lessons.php?rub=37&id=301

@Jewbacabra · 13.11.2017, 15:10

Htext, это скорее проблема хостера.
В htaccess такие настройки выставлять плохо, так как нельзя их установить на уровне php_admin_value, можно только php_value и следовательно их можно переопределить. Делать это необходимо в настройках virtual hostа

Константы - это очень плохая идея, хотя бы потому что ее просто забыть добавить проверку

@Htext · 13.11.2017, 15:22 **[ТС]**

Сообщение от Jewbacabra

Константы - это очень плохая идея

Согласен! Тем более, что дело еще и в другом.
Вот Вы можете мне объяснить (там, по ссылке) - какой смысл в проверке константы _JEXEC ? Ведь ее можно подделать (добавить) легко. Ибо она - общеизвестная (по крайней мере, для !Joomla). Разве что - каждый день менять ее во ВСЕХ РНР-фАЙЛАХ site2 на новую, случайную...

@Jewbacabra · 13.11.2017, 15:30

Htext, смысл этой константы - давным давно криворукие разработчики и не менее криворукие пользователи популярных cms не умели или не хотели прятать код выше корня веб сервера, оставляя в корне веб сервера только точки входа. Потом заметили что к нккоторым файлам можно обратиться из браузкра, указав путь до них. Вот и придумали костыль с константой, лишь бы настройкой сервера не заниматься.

@Htext · 13.11.2017, 16:15 **[ТС]**

Сообщение от Jewbacabra

это скорее проблема хостера

В том смысле, что для site1 будет php_admin_value open_basedir /var/www/site1,
а для site2 - php_admin_value open_basedir /var/www/site2 ?

Новые блоги и статьи Все статьи Все блоги /
Программный контроль заполнения реквизита табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать контроль заполнения реквизита табличной части. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .
Функция заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .	К слову об оптимизации kumehtar 01.04.2026 Вспоминаю начало 2000-х, университет, когда я писал на Delphi. Тогда среди программистов на форумах активно обсуждали аккуратную работу с памятью: нужно было следить за переменными, вовремя. . .	Идея фильтра интернета (сервер = слой+фильтр). Hrethgir 31.03.2026 Суть идеи заключается в том, чтобы запустить свой сервер, о чём я если честно мечтал давно и давно приобрёл книгу как это сделать. Но не было причин его запускать. Очумелые учёные напечатали на. . .	Модель здравосоХранения 6. ESG-повестка и устойчивое развитие; углублённый анализ кадрового бренда anaschu 31.03.2026 В прикрепленном документе раздумья о том, как можно поменять модель в будущем

@Htext 365 / 124 / 22 Регистрация: 08.01.2015 Сообщений: 1,418 Записей в блоге: 2

	Если файл с кодом со стороннего сайта подключен, то он выполнится 12.11.2017, 15:20. Показов 600. Ответов 12 Метки нет (Все метки) Подключен, например. при помощи `include` или `requre_once` Есть ли возможности стороннему сайту защититься от этого? Кроме запрета доступа в .htaccess ? Т.е. может ли сторонний сайт как-то запретить подключение его файлов РНР всеми желающими? 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	12.11.2017, 15:57
	Htext, https://secure.php.net/manual/... en-basedir 0

@Htext 365 / 124 / 22 Регистрация: 08.01.2015 Сообщений: 1,418 Записей в блоге: 2
	13.11.2017, 13:19 [ТС]
	Да, но если ограничить доступ к каталогам с файлами РНР, тогда никто, и сам site2.ru (владелец файла) не сможет их использовать. Вопрос в том, как запретить подгрузку и запуск файла РНР другим сайтам. Тогда как сайт-владелец, на котором находится этот файл, естественно, должен иметь возможность запускать его. Добавлено через 5 минут Т.е. понятно, что можно в .htaсcess разрешить доступ только с IP-адреса 127.0.0.1, но это как-то (...). 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	13.11.2017, 13:20
	Htext, эти настройки можно задать каждому сайту отдельно 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	13.11.2017, 15:10
	Htext, это скорее проблема хостера. В htaccess такие настройки выставлять плохо, так как нельзя их установить на уровне php_admin_value, можно только php_value и следовательно их можно переопределить. Делать это необходимо в настройках virtual hostа Константы - это очень плохая идея, хотя бы потому что ее просто забыть добавить проверку 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	13.11.2017, 15:30
	Htext, смысл этой константы - давным давно криворукие разработчики и не менее криворукие пользователи популярных cms не умели или не хотели прятать код выше корня веб сервера, оставляя в корне веб сервера только точки входа. Потом заметили что к нккоторым файлам можно обратиться из браузкра, указав путь до них. Вот и придумали костыль с константой, лишь бы настройкой сервера не заниматься. 1