include() ¿Por qué no debería usarlo?

Question

Estoy trabajando en un viejo libro php mysql escrito en 2003. El autor usa la función include() para construir páginas html al incluir header.inc, footer.inc, archivos main.inc, etc. Ahora descubro que esto no está permitido en la configuración ini predeterminada, (allow_url_include está desactivado) después de recibir muchas advertencias del servidor.

Me di cuenta también de que puede usar incluir sin los paréntesis. Intenté esto y funciona y no recibo mensajes de error o advertencias. Son los dos diferentes? Es decir, ¿incluye() diferente de incluye?

Answer 1

El uso de include() puede introducir un Local File Include (LFI) o Remote File Include(RFI) Vulnerably. Debería tratar de evitar el uso de include, por ejemplo si incluye HTML es mejor escribir print(file_get_contents($file)) que include($file). Sin embargo, include() 'ing PHP files es necesario en la mayoría de las aplicaciones de php para reducir la duplicación de código.

Incluso cuando la inclusión de archivos remotos está deshabilitada todavía es posible explotar el sistema usando un Advanced LFI Attack.

Si es necesario aceptar la entrada del usuario en un include(), entonces usted debe asegurarse de que está en una lista blanca:

$good_includes=array("contact","home","view"); 
if(in_array($_GET[page],$good_includes)){ 
    include("inc/".$_GET[page].".php"); 
} 

Answer 2

Esto es un malentendido. Puede desactivar la inclusión de los archivos remotos (utilizando una URL http://www.example.com/include.php en lugar de una ruta del sistema de archivos). Siempre puede incluir archivos locales.

Esto último es porque include no es una función normal, sino una construcción de lenguaje. Al igual que die, se puede usar con o sin paréntesis. Fuente: Manual

Porque include() es una construcción de lenguaje especial, no se necesitan paréntesis alrededor de su argumento. Tenga cuidado al comparar el valor de retorno.

Answer 3

Hay una diferencia importante con include/require_once y require.

La principal diferencia es el informe de errores, si utiliza incluir en su aplicación, PHP intentará cargar el archivo, pero si no existe, arrojará un error no fatal (lo que significa que el script no se detendrá), si están usando require, entonces el script se detendrá y detendrá el procesamiento.

Utilice require en los archivos que son fundamentales para su aplicación y use include en sus plantillas porque si hay un error puede especificar que no se muestre el error y así el usuario no notará la diferencia siempre y cuando no sea primario plantilla incluye como header.php

estas funciones se utilizan principalmente en su propio servidor para incluir archivos que son relevantes para su aplicación.

si incluye archivos fuera de su servidor, entonces usaría curl si está instalado o file_get_contents().

Espero que esto te ayude.

sólo una nota en require vs require_once, require_once añadirá lógica para asegurarse de que el archivo no se incluye más de una vez, es decir, que no desea declarar su conexión a la base de datos más de una vez

Answer 4

Función include es bueno para inquisición dinámica de archivos. Si incluimos archivos en ciclo, esto es muy bueno. Pero si incluimos archivos estáticos, deberíamos usar require. Segunda función en el comienzo de la secuencia de comandos.