Как заинклудить php-шку на одной определенной странице?

что будет, если я на сайте example.com размещу файл example.com/php.js

Это сырой набросок одного файла, здесь уже по вашему желанию в строке 16 регулярными выражениями, можете разрешить, запретить всё что угодно. В первой ветке есть папка myphp, на одном из моих сайтов находятся около 20 файлов, 10 лет всё нормально. Данное поле нужно только для вебмастера, доступ сторонних пользователей к нему должен закрыт! (описывать как закрыть доступ к созданию и редактированию контента вы знаете), мне оно нужно для работы с  API Яндекса.

P.S. Это просто набросок файла для поля «Добавить файл PHP», по его принципу можно легко переделать поле «Файл» и тогда оно станет универсальным.

 Nikolay, я ни в коем случае не противник набросков. Но поскольку большинство пользователей этого форума любят по-быстрому сделать ctrl+c, ctrl+v и не склонны к анализу кода, я и указал на возможный вектор атаки при бездумном использовании вашего кода.

о поскольку большинство пользователей этого форума любят по-быстрому сделать ctrl+c, ctrl+v и не склонны к анализу кода

Поэтому один файл и без второго он работать не будет

на возможный вектор атаки при бездумном использовании вашего кода

Бездумно не получиться у тех кто не хочет создать второй файл

В качестве дополнительной защиты можно добавить в настройку строку «папка с php файлами», а в поле $value разрешить только имя файла (без слешей), и выводить по составному пути

        return '<div class="add_files">' . @file_get_contents ($php_folder.$value, false) .  '</div>';

Хотелось бы ещё убрать собачку перед file_get_contents, к примеру если добавляем ссылку на не существующий файл, то выводилась надпись — Не верный путь к файлу, без собачки идут нотисы. Как это реализовать, то времени нет рыть инет.

require, include, require_once и include_once с ними не получилось указать путь к файлу, перебрал много способов, но у вы.

Попробуйте так

    public function parse($value) {
 
        if ($value === "") {
            return "";
        }
 
        $path = PATH.$value;
 
        if (file_exists($path)) {	
            ob_start();
            include $path;
            $out = ob_get_clean();
            return '<div class="add_files">'.$out.'</div>';
        } else {
            return 'Указана неверная ссылка';
        }
 
    }

$value должно быть записано, например, так

/templates/custom/hw.php

Попробуйте так

Код не сработал выдал ошибку: Parse error: syntax error, unexpected end of file, expecting function (T_FUNCTION) or const (T_CONST)

У меня работает, не знаю как вам удалось заполучить такую ошибку, не понятно также, где она произошла. Я вам показал как метод parse() переписать, остальной ваш код никто не отменял.

Плюс моей реализации кроме прочего  в том, что в подключаемом файле доступен функционал CMS. В файле  /templates/custom/hw.php (см. пример выше)  работает такой код

<?php
$user = cmsUser::getInstance();
echo "Hello, {$user->nickname}!";

У меня работает, не знаю как вам удалось заполучить такую ошибку

Очень просто, вместо фигурной скобки поставил круглую. По вашему мнению, как лучше делать с буферизацией или без неё.

Вариант с file_get_contents() организует отдельный get-запрос к серверу, т.е. запускается web-сервер, он запускает интерпретатор php, php файл выполняется и web-сервер отдает результат, этот результат «ловит» file_get_contents(). Это затратный способ, к тому же в этом варианте вы имеете автономный скрипт — у него нет доступа к функционалу CMS. Я выбрал бы «буферизацию». 

Я выбрал бы «буферизацию».

Выбираю ваш вариант, создам папку в дочерней теме и ни кому она не мешает.

Прошло три года пришлось вернуться к данной теме, чтоб вывести код на одном из сайтов. Что произошло за три года все круто изменилось, прогресс растет: попросил кореша «проверь код», а он пожалуйста — выдал ответ:

<?php
 
class fieldAdfiles extends cmsFormField {
 
    public $title       = 'Добавить файл PHP';
    public $sql         = 'varchar(200) NULL DEFAULT NULL';
    public $filter_type = false;
    public $var_type    = false;
 
    /**
     * Parses the value and includes the PHP file if it exists.
     *
     * @param string $value The path to the PHP file.
     * @return string The HTML output or an error message.
     */
    public function parse($value) {
        // Return empty string if the value is empty
        if ($value === "") {
            return "";
        }
 
        // Construct the full path to the file
        $path = PATH . $value;
 
        // Check if the file exists
        if (file_exists($path)) {
            // Start output buffering
            ob_start();
            // Include the PHP file
            include $path;
            // Get the buffered output and clean the buffer
            $out = ob_get_clean();
            // Return the output wrapped in a div
            return '<div class="add_files">' . $out . '</div>';
        } else {
            // Return an error message if the file does not exist
            return 'Указана неверная ссылка';
        }
    }
}
 

  Говорю ему добавь защиту, а он не возражает:

<?php
 
class fieldAdfiles extends cmsFormField {
 
    public $title       = 'Добавить файл PHP';
    public $sql         = 'varchar(200) NULL DEFAULT NULL';
    public $filter_type = false;
    public $var_type    = false;
 
    public function parse($value) {
        if (!$value) {
            return '';
        }
 
        $path = PATH . $value;
 
        if (file_exists($path) && pathinfo($path, PATHINFO_EXTENSION) === 'php') {
            ob_start();
            include $path;
            $out = ob_get_clean();
            return '<div class="add_files">' . $out . '</div>';
        } else {
            return 'Указана неверная ссылка';
        }
    }
}
 

  Вот думаю как его ещё можно напрячь?