Include de páginas externas

Cain · #1 (**permalink**) 02/07/2003, 02:40

Estoy pensando en hacer una web donde pueda previsualizar cualquier web, parecido al Google viewer (http://labs.google.com/gviewer.html) pero en lugar de usar frames o iframes, había pensado en hacer includes.

Entonces, se me plantea el problema que puede resultar inseguro dejar que un usuario haga un include de cualquier página web y me gustaría saber que debo tener en cuenta para ahorrarme disgustos.

Como el include lo hago con PHP, he pensado en sustituir todos los <? y ?> por &<? y &>? respectivamente, así evito que ejecute código PHP, pero... ¿Qué más debo vigilar para poder estar seguro?

ferny · #2 (**permalink**) 02/07/2003, 03:07

Si incluyes páginas externas, éstas ya estarán compiladas. Es decir, al pedirselas al servidor externo, éste las interpreta y te devuelve el resultado que sea. No habrá nada de código php en esas páginas, todo habra sido interpretado ya.

josemi · #3 (**permalink**) 02/07/2003, 03:13

Hola,

¿Te refieres a incluir paginas externas? Supongo que haciendo algo asi:

Código PHP:

  include("http://www.example.com/index.php");

Si es asi, no estas incluyendo el codigo PHP de la pagina, sino el HTML generado. Lo mismo si usas fopen() u otra funcion pasandole una URL. Asi que si es eso lo que haces, no deberias preocuparte por el codigo PHP/ASP/etc. Mas bien deberias preocuparte por el Javascript, que se van a ejecutar en el navegador de tu usuario.

Asi que mientras uses URLs, creo que no deberias tener problemas.

Saludos.

Cain · #4 (**permalink**) 02/07/2003, 03:32

Si, pretendo hacer eso exactamente. El problema está en que es el usuario quien hace el include, y que pasa si genera una página cuyo output HTML es:

Cita:

<? exec(format c:); ?>

Por poner un ejemplo bruto.

Entiendo que PHP recibiría ese código y lo intentaría interpretar como si fuera código PHP. Por eso he pensado en convertirlo en:

Cita:

&lt;? exec(format c:); ?&gt;

josemi · #5 (**permalink**) 02/07/2003, 03:42

No puedo probar el include() con URL porque tengo el 4.2 y estoy en win98. Pero he probado el readfile() y no ejecuta el codigo. Incluso con el readfile() y el path en lugar de la URL. Con lo cual seria mas seguro usar readfile().

Saludos.

Cain · #6 (**permalink**) 02/07/2003, 03:46

Pues un problema menos

¿Y respecto a los Javascripts, DHTML y similares que pudieran boikotear mi web?

Cain · #7 (**permalink**) 02/07/2003, 03:58

Aunque ahora me doy cuenta que las rutas relativas no se me mantendrán

Igual mejor me decanto por los iframes

Cluster · #8 (**permalink**) 03/07/2003, 19:59

Cuando en PHP usas un "handler" (se escribe así?) externo .. caso de http:// .. ftp:// .. El código se ejecuta en el "servidor" externo devolviendote su código de "cliente" que realice (HTML, Javascript.. etc). Es lo mismo que llamarlo por el URL. En estos casos PHP hace de "navegador" (caso de HTTP) o de cliente FTP (caso de ftp://) ..

Si tu configuración de PHP acepta "handlers" externos podrias incluso usar https:// ... o ftps:// .

Un saludo,