Làm thế nào để từ chối việc sử dụng các chức năng PHP nguy hiểm?

Question

thể trùng lặp:
PHP: How To Disable Dangerous Functions

Hi, đây là tình hình của tôi: Tôi phải cho khách hàng của tôi nhập mã PHP, nhưng chỉ có các chức năng an toàn như chức năng chuỗi, chức năng ngày, vv Vì vậy, tôi cần danh sách hàm PHP nguy hiểm để loại bỏ chúng bằng cách sử dụng chuỗi thay thế trước khi lưu vào tệp PHP. Bất kì lời đề nghị nào?

Answer 1

Hãy quên nó đi. Danh sách trắng chức năng đáng tin cậy là không thể trong php. Ví dụ:

$x = 'e' . str_replace('y', 'x', 'yec'); 
...lots of code... 
$x('format c:'); 

thực tế tùy chọn là

• chức năng vô hiệu hóa (http://php.net/manual/en/ini.core.php#ini.disable-functions)
• sandboxing (xem Recommendations for sandboxing inside PHP5 or alternatives?)

Answer 2

Cho người dùng khả năng để nhập mã PHP là thực sự nguy hiểm . Xem xét tất cả các tùy chọn khác trước khi triển khai. Một số loại trình tạo mã PHP. Được truyền cảm hứng trên Trình tạo truy vấn.

Nếu bạn quyết định cho phép mã PHP của khách hàng, tốt hơn nên sử dụng danh sách trắng. Bạn nên sử dụng cụm từ thông dụng để trích xuất các chức năng này từ mã được đăng.

Answer 3

Điều bạn dự kiến ​​làm là cực kỳ khó khăn nếu bạn muốn làm đúng. Tôi sẽ bắt đầu bằng parsing mã php đã nhập, kiểm tra từng chức năng được gọi, không cho phép backticks hoàn toàn, v.v.

Nói cách khác: Nếu bạn muốn cho phép một tập con PHP bạn phải thực hiện lexer của riêng bạn (ngay cả khi PHP cung cấp cho bạn parser ngoài hộp).

Answer 4

Theo như tôi biết, bạn chỉ có thể sử dụng một cách tiếp cận đen-list:

• http://es2.php.net/manual/en/ini.core.php#ini.disable-functions
• http://es2.php.net/manual/en/ini.core.php#ini.disable-classes

Tất nhiên, bạn phải xem xét như thế nào khả thi đó là để duy trì một danh sách cập nhật của tất cả các hàm dựng sẵn được xác định bởi tất cả các phần mở rộng có thể.

Một khả năng tôi có thể nghĩ ra được cách viết một tokenizer đơn giản:

http://es2.php.net/manual/en/function.token-get-all.php

Sau đó bạn có thể kiểm tra các chức năng sử dụng chống lại một danh sách trắng.

Cập nhật: Tôi đã bị ấn tượng sai rằng token_get_all() sẽ xác định cuộc gọi chức năng nhưng thực tế thì không. Tất cả đều là T_STRING s.

Answer 5

Tùy chọn bảo mật và dễ bảo trì nhất sẽ là lập trình một "ngôn ngữ mini" chuyên dụng trong php. Bạn có thể biến nó thành một tập hợp con của php, hoặc làm cho nó trông giống như các công thức Excel, hoặc thậm chí là tạo ra công thức của riêng bạn. Bằng cách này, bạn sẽ luôn có toàn quyền kiểm soát những gì đang xảy ra.

//

chỉ để cho vui, đây là một Lisp nhỏ cho bạn

function lisp($x) { 

    if(is_string($x)) { 
     $re = '~\(([^()]*)\)~'; 
     while(preg_match($re, $x)) 
      $x = preg_replace_callback($re, 'lisp', $x); 
     return trim($x); 
    } 

    $x = preg_split('~\s+~', $x[1]); 
    $e = array_shift($x); 
    if(!$x) 
     return is_numeric($e) ? floatval($e) : $e; 

    switch($e) { 
     case '+': return lisp($x[0]) + lisp($x[1]); 
     case '-': return lisp($x[0]) - lisp($x[1]); 
     case '*': return lisp($x[0]) * lisp($x[1]); 
     case '/': return lisp($x[0])/lisp($x[1]); 

     case 'concat': return lisp($x[0]) . lisp($x[1]); 
    } 

    return function_exists($e) ? 
     call_user_func_array($e, array_map('lisp', $x)) : ''; 
} 

$input = ' 
    (strtolower 
     (concat 
      (strrev olleh) 
      (+ 22 20)))'; 

echo lisp($input); // hello42 

;))