DokuWiki PHP埋め込みのあれこれ

DokuWiki には、コンテンツに直接PHPを記述できる、とても便利で危険な機能があります。

この機能を投稿が公開された Wiki で有効にすれば、まず間違いなく問題が起こるでしょう。

名前空間毎に有効、無効を切り替えられればいいのですが、そういった機能は無いので、コンテンツの編集が管理者に閉じられた Wiki でしか使えません。

普段は静的なコンテンツを記述しているけど、一部だけ DB から値を読み出したい！という場合に便利です。

DB から値を読み出すだけであれば、HTML埋め込み機能を利用してフロントを Vue.js で記述し WebAPI を用意してクライアントサイドで描画する、という手もあるのですが、

等の場合は、サーバーサイドで処理した方が良い結果を得られると思います。

以下のコードを埋め込むことで、埋め込まれた PHP が実際に何処で実行されているかが判ります。

echo __FILE__ . PHP_EOL;
echo __DIR__ . PHP_EOL;

以下が実行結果です。

/var/repos/burdock/wws.jp/inc/parser/xhtml.php(559) : eval()'d code /var/repos/burdock/wws.jp/inc/parser

${DOKU_ROOT}/inc/parser/xhtml.php(549) : eval()'d code
${DOKU_ROOT}/inc/parser

悪名高き eval() が実行されていることが判ります。ご利用は計画的に。。。

実行ファイルパスが判ったので、autoload 等を相対パスで呼び出せます。
# 絶対パスで autoload を呼んでもいいのですが、環境依存になるので避けたいところです。

その他、サーバー変数に設定されている値なども、同じ様に調査できます。

echo '<pre>';
var_dump($_SERVER);
echo '</pre>';

出力結果は省略します。みなさんの DokuWiki 環境で実際に試してみてください。

グローバル変数も同様です。ここには DokuWiki 特有の値も含まれているため、いろいろ活用できます。
例えば、現在のユーザーに関する情報を以下の様に参照できます。

echo '<pre>';
var_dump($GLOBALS['INFO']['userinfo']);
echo '</pre>';

実行パスの調査