खतरनाक PHP कार्यों के उपयोग से इनकार कैसे करें?

Question

संभव डुप्लिकेट:
PHP: How To Disable Dangerous Functions

हाय, यह मेरी स्थिति है: मैं अपने ग्राहकों PHP कोड डालने देती चाहिए, लेकिन स्ट्रिंग समारोह, तारीख समारोह आदि तो मैं जैसे ही सुरक्षित कार्यों PHP फ़ाइल में सहेजने से पहले स्ट्रिंग प्रतिस्थापन का उपयोग करके उन्हें हटाने के लिए खतरे PHP फ़ंक्शंस सूची की आवश्यकता है। कोई उपाय?

Answer 1

इसे भूल जाओ। PHP में विश्वसनीय फ़ंक्शन श्वेतसूची संभव नहीं है। उदाहरण:

$x = 'e' . str_replace('y', 'x', 'yec'); 
...lots of code... 
$x('format c:'); 

यथार्थवादी विकल्प हैं

• अक्षम करने कार्यों (http://php.net/manual/en/ini.core.php#ini.disable-functions)
• सैंडबॉक्सिंग (Recommendations for sandboxing inside PHP5 or alternatives? देख)

Answer 2

उपयोगकर्ताओं संभावना PHP कोड दर्ज करने के लिए देते वास्तव में खतरनाक है । इसे लागू करने से पहले अन्य सभी विकल्पों पर विचार करें। कुछ प्रकार का PHP-कोड बिल्डर। एक प्रश्न निर्माता पर प्रेरित हो गया।

यदि आप ग्राहकों द्वारा PHP कोड की अनुमति देने का निर्णय लेते हैं, तो श्वेतसूची का उपयोग करना बेहतर होता है। आपको पोस्ट कोड से इन कार्यों को निकालने के लिए नियमित अभिव्यक्तियों का उपयोग करना चाहिए।

Answer 3

यदि आप इसे सही करना चाहते हैं तो आपको क्या करना है, यह बेहद कठिन काम है। मैं parsing द्वारा दर्ज PHP कोड को शुरू होता है,, प्रत्येक बुलाया समारोह जाँच backticks कुल मिलाकर अनुमति न देने, आदि

दूसरे शब्दों में: आप PHP की एक उप-सेट आप अपने खुद के lexer (भले ही पीएचपी को लागू करना चाहिए अनुमति देना चाहते हैं आपको बॉक्स के बाहर parser प्रदान करता है)।

Answer 4

जहाँ तक मुझे पता है, आप केवल एक काले सूची दृष्टिकोण का उपयोग कर सकते हैं:

• http://es2.php.net/manual/en/ini.core.php#ini.disable-functions
• http://es2.php.net/manual/en/ini.core.php#ini.disable-classes

बेशक, आप पर विचार करने के लिए कैसे संभव इसे बनाए रखने के लिए है है सभी संभावित एक्सटेंशन द्वारा परिभाषित सभी बिल्टिन कार्यों की एक अद्यतन सूची।

एक और संभावना है मैं के बारे में सोच सकते हैं एक सरल tokenizer लिख रहा है:

http://es2.php.net/manual/en/function.token-get-all.php

फिर आप एक सफेद सूची के खिलाफ इस्तेमाल किया कार्यों की जांच कर सकते हैं।

अद्यतन: मैं गलत धारणा थी कि token_get_all() समारोह कॉल की पहचान हैं लेकिन यह वास्तव में नहीं है। वे सभी T_STRING एस हैं।

Answer 5

सबसे सुरक्षित और आसान बनाए रखने का विकल्प PHP में समर्पित "मिनी-भाषा" प्रोग्राम करना होगा। आप इसे php का सबसेट बना सकते हैं, या इसे Excel सूत्रों की तरह दिख सकते हैं, या यहां तक ​​कि अपना स्वयं का आविष्कार भी कर सकते हैं। इस तरह आप हमेशा क्या हो रहा है का पूरा नियंत्रण रखेंगे।

//

सिर्फ मनोरंजन के लिए, यहाँ आप

function lisp($x) { 

    if(is_string($x)) { 
     $re = '~\(([^()]*)\)~'; 
     while(preg_match($re, $x)) 
      $x = preg_replace_callback($re, 'lisp', $x); 
     return trim($x); 
    } 

    $x = preg_split('~\s+~', $x[1]); 
    $e = array_shift($x); 
    if(!$x) 
     return is_numeric($e) ? floatval($e) : $e; 

    switch($e) { 
     case '+': return lisp($x[0]) + lisp($x[1]); 
     case '-': return lisp($x[0]) - lisp($x[1]); 
     case '*': return lisp($x[0]) * lisp($x[1]); 
     case '/': return lisp($x[0])/lisp($x[1]); 

     case 'concat': return lisp($x[0]) . lisp($x[1]); 
    } 

    return function_exists($e) ? 
     call_user_func_array($e, array_map('lisp', $x)) : ''; 
} 

$input = ' 
    (strtolower 
     (concat 
      (strrev olleh) 
      (+ 22 20)))'; 

echo lisp($input); // hello42 

एक छोटे से लिस्प है;))