PHP Doku:: Zugriff auf entfernte Dateien - features.remote-files.html

Verlauf / Chronik / History: (1) anzeigen

Sie sind hier:
Doku-StartseitePHP-HandbuchFeaturesZugriff auf entfernte Dateien

Ein Service von Reinhard Neidl - Webprogrammierung.

Features

<<PUT-Unterstützung

Verbindungssteuerung>>

Zugriff auf entfernte Dateien

Wenn allow_url_fopen in der php.ini aktiviert ist, können HTTP- und FTP-URLs bei den meisten Funktionen verwendet werden, die einen Dateinamen als Parameter benötigen. Darüber hinaus können URLs in include()-, include_once()-, require()- und require_once()-Anweisungen verwendet werden (ab PHP 5.2.0 muss dafür allow_url_include aktiviert sein). Weitere Informationen zu den Protokollen, die von PHP unterstützt werden, finden Sie im Abschnitt Supported Protocols and Wrappers.

Hinweis:

Bis einschließlich PHP 4.0.3 muss PHP mit der Option --enable-url-fopen-wrapper konfiguriert worden sein, damit die URL-Wrapper verwendet werden können.

Hinweis:

Vor PHP 4.3 war mit folgenden Funktionen der Windows-Versionen von PHP kein Zugriff auf entfernte Dateien möglich: include(), include_once(), require(), require_once() und die imagecreatefromXXX-Funktionen der GD- und Image-Funktionen-Erweiterung.

Beispielsweise kann damit eine Datei auf einem anderen Webserver geöffnet und nach benötigten Daten analysiert werden. Diese Daten können zur Abfrage einer Datenbank benutzt werden oder passend zum Rest der eigenen Website ausgegeben werden.

Beispiel #2 Den Titel einer entfernten Seite auslesen

<?php
$datei 
fopen ("http://www.example.com/""r");
if (!
$datei) {
    echo 
"<p>Datei konnte nicht geöffnet werden.\n";
    exit;
}
while (!
feof ($datei)) {
    
$zeile fgets ($datei1024);
    
/* Funktioniert nur, wenn Titel und title-Tags in einer Zeile stehen */
    
if (preg_match ("@\<title\>(.*)\</title\>@i"$zeile$treffer)) {
        
$title $treffer[1];
        break;
    }
}
fclose($datei);
?>

Auch eine Datei auf einem FTP-Server kann geschrieben werden, vorausgesetzt man ist als Benutzer mit entsprechenden Zugriffsrechten angemeldet. Auf diesem Weg können nur neue Dateien angelegt werden. Falls Sie versuchen eine schon existierende Datei zu überschreiben, wird der fopen()-Aufruf fehlschlagen.

Um sich statt als 'anonymous' als anderer Benutzer anzumelden, muss ein Benutzername (und möglicherweise ein Passwort) innerhalb der URL angegeben werden, wie z.B. 'ftp://benutzer:passwort@ftp.example.com/pfad/zur/datei'. Die selbe Syntax kann verwendet werden, um auf Dateien via HTTP zuzugreifen, wenn diese eine Basic-Authentifizierung benötigen.

Beispiel #3 Daten auf einen entfernten Server speichern

<?php
$datei 
fopen ("ftp://ftp.example.com/incoming/outputfile""w");
if (!
$datei) {
    echo 
"<p>Datei konnte nicht zum schreiben geöffnet werden.\n";
    exit;
}
/* Schreibe die Daten hier hin. */
fputs ($datei$_SERVER['HTTP_USER_AGENT'] . "\n");
fclose ($datei);
?>

Hinweis:

Obiges Beispiel könnte dazu verleiten, dieses Verfahren zu benutzen, um in eine entfernte Log-Datei zu schreiben. Das würde aber leider nicht funktionieren, weil der fopen()-Aufruf fehlschlagen würde, wenn die entfernte Datei bereits existiert. Für eine dezentralisierte Protokollierung sollten Sie sich die Funktion syslog() anschauen.


4 BenutzerBeiträge:
- Beiträge aktualisieren...
mail at 3v1n0 dot net
29.04.2008 3:18
I've changed the function below to support the 4xx errors and the 30x redirects... This is a partial implementation yet but it's sufficient for the normal usage.

I've made a recursive implementation (if a 30x redirect is found), but it could be easily reverted to an iterative way (simple put something like while (!empty $url) at the beginning, and set the $url to an empty string if no 3xx/4xx status are found).

<?
function http_get($url, $range = 0)
{
   
$url_stuff = parse_url($url);
   
$port = isset($url_stuff['port']) ? $url_stuff['port'] : 80;
   
   
$fp = @fsockopen($url_stuff['host'], $port);
   
    if (!
$fp)
        return
false;
   
   
$query  = 'GET '.$url_stuff['path'].'?'.$url_stuff['query']." HTTP/1.1\r\n";
   
$query .= 'Host: '.$url_stuff['host']."\r\n";
   
$query .= 'Connection: close'."\r\n";
   
$query .= 'Cache-Control: no'."\r\n";
   
$query .= 'Accept-Ranges: bytes'."\r\n";
    if (
$range != 0)
       
$query .= 'Range: bytes='.$range.'-'."\r\n"; // -500
    //$query .= 'Referer: http:/...'."\r\n";
    //$query .= 'User-Agent: myphp'."\r\n";
   
$query .= "\r\n";
   
   
fwrite($fp, $query);
   
   
$chunksize = 1*(1024*1024);
   
$headersfound = false;

    while (!
feof($fp) && !$headersfound) {
       
$buffer .= @fread($fp, 1);
        if (
preg_match('/HTTP\/[0-9]\.[0-9][ ]+([0-9]{3}).*\r\n/', $buffer, $matches)) {
           
$headers['HTTP'] = $matches[1];
           
$buffer = '';
        } else if (
preg_match('/([^:][A-Za-z_-]+):[ ]+(.*)\r\n/', $buffer, $matches)) {
           
$headers[$matches[1]] = $matches[2];
           
$buffer = '';
        } else if (
preg_match('/^\r\n/', $buffer)) {
           
$headersfound = true;
           
$buffer = '';
        }

        if (
strlen($buffer) >= $chunksize)
            return
false;
    }

    if (
preg_match('/4[0-9]{2}/', $headers['HTTP']))
        return
false;
    else if (
preg_match('/3[0-9]{2}/', $headers['HTTP']) && !empty($headers['Location'])) {
       
$url = $headers['Location'];
        return
http_get($url, $range);
    }

    while (!
feof($fp) && $headersfound) {
       
$buffer = @fread($fp, $chunksize);
        echo
$buffer;
       
ob_flush();
       
flush();
    }

   
$status = fclose($fp);

    return
$status;
}
?>
geoffrey at nevra dot net
7.05.2006 0:53
Really, you should not send headers terminated by \n - it's not per-rfc supported by a HTTP server.

Instead, send as \r\n which is what the protocol specifies, and that regular expression would be matched anywhere, so match for something like /^Content-Length: \d+$/i on each header-line (headers are terminated by the regular expression  /(\r\n|[\r\n])/ - so preg_split on that. Remeber to use the appropriate flags, I can't be arsed to look them up)
heck at fas dot harvard dot edu
14.09.2004 9:06
The previous post is part right, part wrong. It's part right because it's true that the php script will run on the remote server, if it's capable of interpreting php scripts. You can see this by creating this script on a remote machine:
<?php
echo system("hostname");
?>
Then include that in a php file on your local machine. When you view it in a browser, you'll see the hostname of the remote machine.

However, that does not mean there are no security worries here. Just try replacing the previous script with this one:
<?php
echo "<?php system(\"hostname\"); ?>";
?>
I'm guessing you can figure out what that's gonna do.

So yes, remote includes can be a major security problem.
geoffrey at nevra dot net
5.08.2003 2:25
ok, here is the story:

I was trying to download remote images, finding urls throught apache indexs with regexps and fopen()ing them to get the datas. It didn't work. I thought about binary considerations. Putting the 'b' in the second argument of fopen didn't help much, my browser still didn't want to display the images. I finally understood by watching the datas i was getting from the remote host: it was an html page ! hey, i didn't know apache sent html pages when requesting images, did you ?
the right way is then to send an http request via fsockopen. Here comes my second problem, using explode("\n\n", $buffer); to get rid of the headers. The right way is to get the value of the Content-Lenght field and use it in substr($buffer, -$Content-Lenght);

finally, here is my own function to download these files:

<?php
function http_get($url)
{

   
$url_stuff = parse_url($url);
   
$port = isset($url_stuff['port']) ? $url_stuff['port'] : 80;

   
$fp = fsockopen($url_stuff['host'], $port);

   
$query  = 'GET ' . $url_stuff['path'] . " HTTP/1.0\n";
   
$query .= 'Host: ' . $url_stuff['host'];
   
$query .= "\n\n";

   
fwrite($fp, $query);

    while (
$tmp = fread($fp, 1024))
    {
       
$buffer .= $tmp;
    }

   
preg_match('/Content-Length: ([0-9]+)/', $buffer, $parts);
    return
substr($buffer, - $parts[1]);
?>

}

ho, maybe you'll say i could have parsed the page to get rid of the html stuff, but i wanted to experience http a little ;)



PHP Powered Diese Seite bei php.net
The PHP manual text and comments are covered by the Creative Commons Attribution 3.0 License © the PHP Documentation Group - Impressum - mail("TO:Reinhard Neidl",...)