©
本文档使用
php.cn手册 发布
只要在 php.ini 文件中激活了 allow_url_fopen 选项,就可以在大多数需要用文件名作为参数的函数中使用 HTTP 和 FTP 的 URL 来代替文件名。同时,也可以在 include 、 include_once 、 require 及 require_once 语句中使用 URL。PHP 所支持协议的更多信息参见支持的协议和封装协议。
Note:
要在 PHP 4.0.3 及其更早的版本中使用 URL 封装协议,需要在编译时用 --enable-url-fopen-wrapper 参数来配置 PHP。
Note:
Windows 版本的 PHP 4.3 版之前不支持以下函数的远程访问: include , include_once , require , require_once 以及GD 和图像处理 函数中的 imagecreatefromXXX 函数。
例如,可以用以下范例来打开远程 web 服务器上的文件,解析需要的输出数据,然后将这些数据用在数据库的检索中,或者简单地以和自己网站其它页面相同的风格输出其内容。
Example #1 获取远程文件的标题
<?php
$file = fopen ( "http://www.example.com/" , "r" );
if (! $file ) {
echo "<p>Unable to open remote file.\n" ;
exit;
}
while (! feof ( $file )) {
$line = fgets ( $file , 1024 );
if ( eregi ( "<title>(.*)</title>" , $line , $out )) {
$title = $out [ 1 ];
break;
}
}
fclose ( $file );
?>
如果有合法的访问权限,以一个用户的身份和某 FTP 服务器建立了链接,还可以向该 FTP 服务器端的文件进行写操作。仅能用该方法来创建新的文件;如果尝试覆盖已经存在的文件, fopen() 函数的调用将会失败。
要以“anonymous”以外的用户名连接服务器,需要指明用户名(可能还有密码),例如“ftp://user:password@ftp.example.com/path/to/file”(也可以在通过需要 Basic 认证的 HTTP 协议访问远程文件时使用相同的语法)。
Example #2 将数据保存到远程服务器
<?php
$file = fopen ( "ftp://ftp.example.com/incoming/outputfile" , "w" );
if (! $file ) {
echo "<p>Unable to open remote file for writing.\n" ;
exit;
}
fwrite ( $file , $_SERVER [ 'HTTP_USER_AGENT' ] . "\n" );
fclose ( $file );
?>
Note:
或许可以从以上范例中得到启发,用该技术来存储远程日志文件。但是正如以上提到的,在用 fopen() 方式打开的 URL 中,仅能对新文件进行写操作。如果远程文件已经存在则 fopen() 函数的操作将会失败。要做类似于分布式日志的事,可以参考 syslog() 函数。
[#1] kalidass dot jst at gmail dot com [2015-09-15 06:50:02]
public function get_url($request_url) {
$curl_handle = curl_init();
curl_setopt($curl_handle, CURLOPT_URL, $request_url);
curl_setopt($curl_handle, CURLOPT_CONNECTTIMEOUT, 0);
curl_setopt($curl_handle, CURLOPT_TIMEOUT, 0);
curl_setopt($curl_handle, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($curl_handle, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT']);
curl_setopt($curl_handle, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($curl_handle, CURLOPT_RETURNTRANSFER, TRUE);
$JsonResponse = curl_exec($curl_handle);
$http_code = curl_getinfo($curl_handle);
return($JsonResponse);
}
get_url("http://www.example.com");
[#2] slva dot web dot sit at gmail dot com [2013-11-25 00:28:51]
If allow_url_fopen is disabled in php.ini you can use CURL function for check file exist:
<?php
$ch = curl_init("http://www.example.com/favicon.ico");
curl_setopt($ch, CURLOPT_NOBODY, true);
curl_exec($ch);
$retcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
// $retcode >= 400 -> not found, $retcode = 200, found.
curl_close($ch);
?>
[#3] heck at fas dot harvard dot edu [2004-09-14 00:06:17]
The previous post is part right, part wrong. It's part right because it's true that the php script will run on the remote server, if it's capable of interpreting php scripts. You can see this by creating this script on a remote machine:
<?php
echo system("hostname");
?>
Then include that in a php file on your local machine. When you view it in a browser, you'll see the hostname of the remote machine.
However, that does not mean there are no security worries here. Just try replacing the previous script with this one:
<?php
";
echo "<?php system(\"hostname\"); ?>
?>
I'm guessing you can figure out what that's gonna do.
So yes, remote includes can be a major security problem.