Для чего отключают allow_url_fopen..?

0

1

Не понимаю этих админов параноиков. Ну зачем???

if (ini_get(allow_url_fopen)) {
		$cent = file_get_contents($moduleSunDev);
	} else {
		exec("wget -O - '$moduleSunDev'", $arrWget);
		$cent = implode("\n", $arrWget)."\n";
	}

Ссылка

←	Ищу начинающего веб-программиста.

Rails, кэширование/«прогрев» частых запросов к БД.

→

Действительно, стоит запуск утилит тоже запретить. И поместить всё в chroot.

obinos
(16.09.12 18:14:01 MSK)

Да ты, смотрю, ещё чрута не видал.

melkor217 ★★★★★
(16.09.12 18:14:40 MSK)

Ответ на: комментарий от obinos 16.09.12 18:14:01 MSK

В том-то и дело, что allow_url_fopen отключен, а exec пожалуйста... И так на всех 4 серверах где отключен allow_url_fopen...

Suntechnic ★★★★★
(16.09.12 18:21:03 MSK) автор топика

Ответ на: комментарий от melkor217 16.09.12 18:14:40 MSK

Чем мне чрут помешает?

Suntechnic ★★★★★
(16.09.12 18:21:48 MSK) автор топика

Ответ на: комментарий от Suntechnic 16.09.12 18:21:48 MSK

Возможно, отсутствием wget.

melkor217 ★★★★★
(16.09.12 18:23:11 MSK)

Ссылка

Чтоб тебе весёлый файл не заенжектили.

~~baverman~~ ★★★
(16.09.12 18:23:16 MSK)

Ссылка

Ответ на: комментарий от Suntechnic 16.09.12 18:21:03 MSK

В том-то и дело, что allow_url_fopen отключен, а exec пожалуйста...

Например, если админ заботится не о безопасности, а о нагрузке сервера. fopen не имеют настраиваемого таймаута и не отваливаются по времени ограничения работы скрипта. Так что при глюках/зависах удалённого сервера могут оставлять висящим процесс очень надолго. Серия таких процессов — и готово, ресурсы сервера кончились.

use curl, там можно таймаут короткий ставить.

~~KRoN73~~ ★★★★★
(16.09.12 18:26:56 MSK)

Ответ на: комментарий от KRoN73 16.09.12 18:26:56 MSK

А в wget типа нельзя?

melkor217 ★★★★★
(16.09.12 19:06:43 MSK)

Ответ на: комментарий от melkor217 16.09.12 19:06:43 MSK

curl в пхп работает через libcrl, т.е. нативно, а не через exec.

anonymous
(16.09.12 19:17:06 MSK)

Ответ на: комментарий от anonymous 16.09.12 19:17:06 MSK

А, ну да. Я уж и забыл эту адову кухню.

melkor217 ★★★★★
(16.09.12 19:17:59 MSK)

Ссылка

Ответ на: комментарий от KRoN73 16.09.12 18:26:56 MSK

Хорошо, давай я кусок побольше запощу...

if (!extension_loaded('curl')) {
		if (!dl('curl.so')) {
			$useCurl = false;
		} else {
			$useCurl = true;
		}
	} else {
		$useCurl = true;
	}
	
	
	if ($useCurl) {
		$ch = curl_init();
		curl_setopt($ch, CURLOPT_URL, $moduleSunDev);
		curl_setopt($ch, CURLOPT_HEADER, false);
		curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
		curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 8);
		curl_setopt($ch, CURLOPT_USERAGENT, 'SUN.DEV.loader '.SUN_DEV_LOADER_VERSION);
		$cent = @curl_exec($ch);
		curl_close($ch);
	} else {
		if (ini_get(allow_url_fopen)) {
			$cent = file_get_contents($moduleSunDev);
		} else {
			ini_set(allow_url_fopen, "1");
			if (!ini_get(allow_url_fopen)) {
				exec("wget -O - '$moduleSunDev'", $arrWget);
				$cent = implode("\n", $arrWget)."\n";
			}
		}
	}

Так понятнее?

Suntechnic ★★★★★
(16.09.12 21:31:34 MSK) автор топика

Ссылка

Ответ на: комментарий от melkor217 16.09.12 19:06:43 MSK

Кстати, а как?

Suntechnic ★★★★★
(16.09.12 21:55:07 MSK) автор топика

Ответ на: комментарий от Suntechnic 16.09.12 21:55:07 MSK

       -T seconds
       --timeout=seconds
           Set the network timeout to seconds seconds.  This is equivalent to specifying --dns-timeout, --connect-timeout, and --read-timeout, all at the same time.

           When interacting with the network, Wget can check for timeout and abort the operation if it takes too long.  This prevents anomalies like hanging reads and infinite connects.  The only timeout enabled by default is a 900-second read timeout.  Setting a
           timeout to 0 disables it altogether.  Unless you know what you are doing, it is best not to change the default timeout settings.

           All timeout-related options accept decimal values, as well as subsecond values.  For example, 0.1 seconds is a legal (though unwise) choice of timeout.  Subsecond timeouts are useful for checking server response times or for testing network latency.

       --dns-timeout=seconds
           Set the DNS lookup timeout to seconds seconds.  DNS lookups that don't complete within the specified time will fail.  By default, there is no timeout on DNS lookups, other than that implemented by system libraries.

       --connect-timeout=seconds
           Set the connect timeout to seconds seconds.  TCP connections that take longer to establish will be aborted.  By default, there is no connect timeout, other than that implemented by system libraries.

       --read-timeout=seconds
           Set the read (and write) timeout to seconds seconds.  The "time" of this timeout refers to idle time: if, at any point in the download, no data is received for more than the specified number of seconds, reading fails and the download is restarted.  This
           option does not directly affect the duration of the entire download.

           Of course, the remote server may choose to terminate the connection sooner than this option requires.  The default read timeout is 900 seconds.

melkor217 ★★★★★
(16.09.12 23:13:36 MSK)

Ответ на: комментарий от melkor217 16.09.12 19:06:43 MSK

А в wget типа нельзя?

Можно. Но на эти грабли наступают куда реже.

~~KRoN73~~ ★★★★★
(16.09.12 23:16:06 MSK)

Ответ на: комментарий от melkor217 16.09.12 23:13:36 MSK

Спасибо. Что-то у меня длительное отсутствие сна начинает влиять на соображалку...

Suntechnic ★★★★★
(17.09.12 00:49:57 MSK) автор топика

Ссылка

Ответ на: комментарий от KRoN73 16.09.12 23:16:06 MSK

В принципе для меня это не сильно страшно, так как это загрузка модуля отладки которая начинается только если я залогинен на сервере (свой отдельный логин от CMS), поэтому если что упадет, то упадет только у меня. Для юзеров до этого место просто никогда не дойдет.

А удаленка нужна что бы не копировать код между дюженой сайтов при добавлении новой фичи. Вот и решил сделать удаленным инклюдом это...

Но спасибо что обратил внимание на этот момент. Я о нем не думал до этого.

Suntechnic ★★★★★
(17.09.12 00:53:24 MSK) автор топика

Ну зачем???

Чтобы ниосиляторы курла сервер не завешивали.

r_asian ★☆☆
(17.09.12 07:22:39 MSK)

Ответ на: комментарий от r_asian 17.09.12 07:22:39 MSK

Я повторил ниже чуть более обширный участок кода - curl'а там тоже нет.

Suntechnic ★★★★★
(17.09.12 07:24:14 MSK) автор топика

Ответ на: комментарий от Suntechnic 17.09.12 07:24:14 MSK

Что function_exists('curl_init') глаголит?

r_asian ★☆☆
(17.09.12 13:43:41 MSK)

Ответ на: комментарий от r_asian 17.09.12 13:43:41 MSK

А какая разница если extension_loaded('curl') глаголит false?

Suntechnic ★★★★★
(17.09.12 21:38:18 MSK) автор топика

Ссылка

Ответ на: комментарий от Suntechnic 17.09.12 00:53:24 MSK

А удаленка нужна что бы не копировать код между дюженой сайтов при добавлении новой фичи.

Так никто не делает, ибо это несекурно и вообще нельзя. Общие фичи нужно распространять библиотеками (или в терминах git'а например подмодулями).

anonymous
(17.09.12 21:46:25 MSK)

Ответ на: комментарий от anonymous 17.09.12 21:46:25 MSK

Не пояснишь почему несекурно и вообще нельзя? Мне кажется это удобным.

Насчет несекурности:

Есть авторизация в самом блоке загрузки. И своя параллельная сессия привязанная еще и к IP. Да, пароль и куки сессии в открытом виде в самом модуле загрузки. Но если кто-то в состоянии прочесть файл с загрузчиком, что ему мешает сделать это с остальными файлами в том числе и с тем, что содержит доступы к базе - они еще и в одной папки в битрикс, а эта хрень пока работает только с битрикс - для остальных CMS еще интерфейс не прикручен? Кроме того ему придестя ломануть мой комп что бы зайти под моим IP или как-то IP подменить (разве такое возможно?).

Сам модуль достаточно надежен (потому что предельно прост) и вызвать сбои врядли может. Удаленный модуль который им загружается может конечно содержать ошибки и вызвать сбой на боевом сервере, но он грузится только если пройдена авторизация в модуле загрузки, так что это будет видно только мне.

В случае если не грузится удаленный модуль, то на все функции внешнего интерфеса ставятся заглушки так, что даже если я забуду удалить где-то отладочную функцию, то просто будет вызвана пустая заглушка.

Где несекурность? Как это может повредить работе сайта?

Suntechnic ★★★★★
(17.09.12 23:35:30 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 17.09.12 21:46:25 MSK

Поясню так же для чего это надо.

Приходится работать с множеством сайтов, сделанных не мной. Я вообще нихрена о них не знаю. Контора наша берет только на обслуживание сайты и доделки. Причем такие, мне кажется от которых все другие уже отказались. Я плачу ночами видя этот код. Конечно нужны инструменты помогающие быстрее вникнуть в извращенную логику разрабов. При этом сайты боевые, поэтому работаю постоянно. Останавливать их нельзя. Снять копию? Хорошее предложение. А в это время 3-4 контентщика со стороны заказчика и один с нашей вносят туда кучу изменение. Поэтому переносить сайт надо только файлами и желательно теми что я поменял. У меня в день 5-10 задач каждая из которых требует изменения 2-5 файлов на разных сайтах. Git? Очень хорошо. Есть сайты на которых мы делаем короткие разовые работы. Работаем всего пару дней... Вобщем неоправданная трата времени выйдет. Вот отсюда идея и возникла. Пилю.

Suntechnic ★★★★★
(17.09.12 23:40:54 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ищу начинающего веб-программиста.

Web-development

Rails, кэширование/«прогрев» частых запросов к БД.

→

Похожие темы