ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] apache и php-инклюды
@ 2008-04-05 16:29 Владимир Леонидов
  2008-04-06 12:46 ` Vladimir V. Kamarzin
  0 siblings, 1 reply; 6+ messages in thread
From: Владимир Леонидов @ 2008-04-05 16:29 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Мне нужно подключить заголовок страницы с помощью php.
Делаю это так:
<?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>

При просмотре страницы в браузере, её исходный код обрывается как раз
перед этой строкой.

Что говорит лог:
[Sat Apr 05 20:22:12 2008] [error] [client 127.0.0.1] ALERT - Include
filename ('http://localhost/inc/top.php') is an URL that is not
allowed (attacker '127.0.0.1', file '/var/www/apache2/html/index.php',
line 11)

Как мне разрешить этот URL?

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] apache и php-инклюды
  2008-04-05 16:29 [Comm] apache и php-инклюды Владимир Леонидов
@ 2008-04-06 12:46 ` Vladimir V. Kamarzin
  2008-04-06 14:35   ` Michael Bochkaryov
  0 siblings, 1 reply; 6+ messages in thread
From: Vladimir V. Kamarzin @ 2008-04-06 12:46 UTC (permalink / raw)
  To: community

>>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:

ВЛ> Мне нужно подключить заголовок страницы с помощью php.
ВЛ> Делаю это так:
ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>

ВЛ> Что говорит лог:
ВЛ> [Sat Apr 05 20:22:12 2008] [error] [client 127.0.0.1] ALERT - Include
ВЛ> filename ('http://localhost/inc/top.php') is an URL that is not
ВЛ> allowed (attacker '127.0.0.1', file '/var/www/apache2/html/index.php',
ВЛ> line 11)
ВЛ> Как мне разрешить этот URL?

Это allow_url_fopen выключен по дефолту в php.ini

-- 
VM> Hаучите пожалуйста, как настpоить AutoCAD 2002 на ноpмальную pаботу
VM> под пользователем не имеющим администpатоpских пpав на компьютеpе
Эхотажный способ: сломать винду RPC-xploit'ом и получить эти самые права
админа. И настроить автокад.
	-- Vladimir 'DarkSide' Mikhaylenko in RU.NETHACK



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] apache и php-инклюды
  2008-04-06 12:46 ` Vladimir V. Kamarzin
@ 2008-04-06 14:35   ` Michael Bochkaryov
  2008-04-06 14:59     ` Nikolay A. Fetisov
  0 siblings, 1 reply; 6+ messages in thread
From: Michael Bochkaryov @ 2008-04-06 14:35 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On Sun, Apr 06, 2008 at 06:46:30PM +0600, Vladimir V. Kamarzin wrote:
> >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> 
> ВЛ> Мне нужно подключить заголовок страницы с помощью php.
> ВЛ> Делаю это так:
> ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> 
> ВЛ> Что говорит лог:
> ВЛ> [Sat Apr 05 20:22:12 2008] [error] [client 127.0.0.1] ALERT - Include
> ВЛ> filename ('http://localhost/inc/top.php') is an URL that is not
> ВЛ> allowed (attacker '127.0.0.1', file '/var/www/apache2/html/index.php',
> ВЛ> line 11)
> ВЛ> Как мне разрешить этот URL?
> 
> Это allow_url_fopen выключен по дефолту в php.ini

Вот только так лучше не делать, если заведомо не знаешь, накой
устраивать себе в системе большую дырень своими же руками :)

В данном случае я бы рекомендовал инклудить не URL, а локальный файл.
Опять же, это куда быстрее работать будет ;-)

-- 
Michael Bochkaryov


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] apache и php-инклюды
  2008-04-06 14:35   ` Michael Bochkaryov
@ 2008-04-06 14:59     ` Nikolay A. Fetisov
  2008-04-07  4:38       ` Michael Bochkaryov
  0 siblings, 1 reply; 6+ messages in thread
From: Nikolay A. Fetisov @ 2008-04-06 14:59 UTC (permalink / raw)
  To: community

On Sun, 6 Apr 2008 17:35:21 +0300
Michael Bochkaryov wrote:

> > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> > ВЛ> Мне нужно подключить заголовок страницы с помощью php.
> > ВЛ> Делаю это так:
> > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> ...
> Вот только так лучше не делать, если заведомо не знаешь, накой
> устраивать себе в системе большую дырень своими же руками :)

Это не дырень, это DoS. Поскольку из процесса веб-сервера
устанавливается соединение к этому же веб-серверу. В итоге, при малых
значениях MaxClients в настройках сервера легко возникает ситуация,
когда при вызове include() не оказывается свободных процессов, а при
больших - из-за большого числа параллельно живущих процессов
Apachе начинает резко расти время работы скрипта - и при нагрузке всё
едино перестаёт хватать MaxClients.

Так что - надо убирать такой вызов в любом случае.

-- 
С уважением,	
Николай Фетисов


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] apache и php-инклюды
  2008-04-06 14:59     ` Nikolay A. Fetisov
@ 2008-04-07  4:38       ` Michael Bochkaryov
  2008-04-07  6:05         ` Nikolay A. Fetisov
  0 siblings, 1 reply; 6+ messages in thread
From: Michael Bochkaryov @ 2008-04-07  4:38 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On Sun, Apr 06, 2008 at 06:59:12PM +0400, Nikolay A. Fetisov wrote:
> On Sun, 6 Apr 2008 17:35:21 +0300
> Michael Bochkaryov wrote:
> 
> > > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> > > ВЛ> Мне нужно подключить заголовок страницы с помощью php.
> > > ВЛ> Делаю это так:
> > > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> > ...
> > Вот только так лучше не делать, если заведомо не знаешь, накой
> > устраивать себе в системе большую дырень своими же руками :)
> 
> Это не дырень, это DoS.

Я про сам факт разрешения инклудить URL-ки.

Небольшая лажа у кого-то в коде и тебе подбрасывают инклуд, делающий
много интересного на твоей системе... жуть :)

-- 
	misha@


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] apache и php-инклюды
  2008-04-07  4:38       ` Michael Bochkaryov
@ 2008-04-07  6:05         ` Nikolay A. Fetisov
  0 siblings, 0 replies; 6+ messages in thread
From: Nikolay A. Fetisov @ 2008-04-07  6:05 UTC (permalink / raw)
  To: community

On Mon, 7 Apr 2008 07:38:45 +0300
Michael Bochkaryov wrote:

> > > > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> ....
> > > > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> > > ...
> > > Вот только так лучше не делать, если заведомо не знаешь, накой
> > > устраивать себе в системе большую дырень своими же руками :)
> > 
> > Это не дырень, это DoS.
> 
> Я про сам факт разрешения инклудить URL-ки.
> 
> Небольшая лажа у кого-то в коде и тебе подбрасывают инклуд, делающий
> много интересного на твоей системе... жуть :)

Это само собой. Но здесь - уже готовый DoS своими руками, без
каких-либо дополнительных действий. 

Причём, с одной стороны, код выглядит вполне нормально и чем-то даже
красиво - во всяком случае, как показывает печальный опыт,
программистов такие решения привлекают.
А с другой - и в системе всё тоже выглядит нормально: куча усердно
работающих процессов, нормальные записи в логах, отсутствие
сообщений об ошибках. Вот только работает всё дико медленно и клиенты
отваливаются по тайм-аутам.

-- 
С уважением,
Николай Фетисов


^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2008-04-07  6:05 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-04-05 16:29 [Comm] apache и php-инклюды Владимир Леонидов
2008-04-06 12:46 ` Vladimir V. Kamarzin
2008-04-06 14:35   ` Michael Bochkaryov
2008-04-06 14:59     ` Nikolay A. Fetisov
2008-04-07  4:38       ` Michael Bochkaryov
2008-04-07  6:05         ` Nikolay A. Fetisov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git