[PHP] include per HTTP ... woher?

[Goltergaul]

meines wissens geht das auch mit .php dateien so. Meistens verbieten Server auch das Includen über http, weil es eben so unsicher ist.

Die "includes" die du meinst gehten über file, fopen, usw...

 

[bartman]

ah, ok. also wenn ich beispielsweise eine *.txt includiere, die aber php-code enthält, dann wird der ausgeführt.

Genau darum gehts, per echo oder ähnliches kann man genau das selbe ja auch in deinem Script simulieren. Aber sagen wirs mal so, ich würde _niemals_ eine fremde Datei includen, sei es dass dein Server gehackt wird und jemand das ändert oder du da was fummelst... oder irgendein Bug Sachen ausgibt, die vllt. Fehler im Script des anderen hervorrufen.. ist einfach eine Sicherheitslücke die nicht sein muss. Da du sowas ja scheinbar als Service anbietest _könnte_ es dir egal sein, aber mach doch den Code für deine User so, dass es einfach per fopen und Konsorten eingelesen wird, der Sicherheit zu liebe.

 

[DocTrax]

include() ist im Prinzip readfile() + eval()

 

[Goltergaul]

Genau^^

 

[Orbit9]

ok, vielen dank für diese neuen erkenntnisse.

jedenfalls, um zu meiner eigentlichen frage zurückzukommen.

wenn ein fremdes skript (server abc.de) nun per file / fopen / was auch immer eine datei von mir einliest, kann ich dann per header/referer / sonst was herausbekommen, welcher server (domain) das ist?

 

[theHacker]

wenn ein fremdes skript (server abc.de) nun per file / fopen / was auch immer eine datei von mir einliest, kann ich dann per header/referer / sonst was herausbekommen, welcher server (domain) das ist?

Das "was auch immer" ist interessant
Wenn das Script die Datei via HyperText Transfer Protocol (HTTP) einlesen will, geht es über den Webserver, der stellt PHP die IP unter $_SERVER['REMOTE_ADDR'] zur Verfügung (und viele weitere Infos im $_SERVER[]-Array). Sendet der Client beim HTTP-Request den Referer mit, hast du den auch noch.