Come negare l'uso di pericolose funzioni PHP?

Question

Eventuali duplicati:
PHP: How To Disable Dangerous Functions

Salve, questo è la mia situazione: devo lasciare che i miei clienti inserire il codice PHP, ma solo le funzioni di sicurezza come funzione di stringa, la funzione data, ecc Così ho serve la pericolosa lista di funzioni PHP per rimuoverle usando la stringa replace prima di salvare il file PHP. Qualche suggerimento?

Answer 1

Lascia perdere. La whitelist della funzione affidabile non è possibile in php. Esempio:

$x = 'e' . str_replace('y', 'x', 'yec'); 
...lots of code... 
$x('format c:'); 

realistici opzioni sono

• funzioni di disabilitazione (http://php.net/manual/en/ini.core.php#ini.disable-functions)
• sandboxing (vedi Recommendations for sandboxing inside PHP5 or alternatives?)

Answer 2

Dare agli utenti la possibilità di inserire il codice PHP è veramente pericoloso . Prendi in considerazione tutte le altre opzioni prima di implementare questo. Una specie di costruttore di codice PHP. Ispirato a un costruttore di query.

Se si decide di consentire il codice PHP da parte dei client, è preferibile utilizzare una whitelist. È necessario utilizzare espressioni regolari per estrarre queste funzioni dal codice pubblicato.

Answer 3

Quello che ci si aspetta che faccia è un lavoro estremamente duro se si vuole farlo bene. Vorrei iniziare parsing il codice PHP inserito, controllando ogni chiamata di funzione, non consentendo backticks del tutto, ecc

In altre parole: se si desidera consentire a un sottoinsieme di PHP è necessario implementare il proprio lexer (anche se PHP fornisce un parser fuori dalla scatola).

Answer 4

Per quanto ne so, è possibile utilizzare solo un approccio black-list:

• http://es2.php.net/manual/en/ini.core.php#ini.disable-functions
• http://es2.php.net/manual/en/ini.core.php#ini.disable-classes

Naturalmente, è necessario considerare come fattibile è quello di mantenere la un elenco aggiornato di tutte le funzioni integrate definite da tutte le possibili estensioni.

Un'altra possibilità mi viene in mente sta scrivendo un semplice tokenizzatore:

http://es2.php.net/manual/en/function.token-get-all.php

È quindi possibile controllare le funzioni utilizzate contro una lista bianca.

Aggiornamento: Ho avuto l'impressione sbagliata che token_get_all() sarebbe identificare le chiamate di funzione, ma in realtà non lo fa. Sono tutti T_STRING s.

Answer 5

L'opzione più sicura e facile da mantenere sarà la programmazione di un "mini-linguaggio" dedicato in php. Puoi renderlo un sottoinsieme di php o renderlo simile alle formule di Excel o persino inventare il tuo. In questo modo avrai sempre il pieno controllo di ciò che sta accadendo.

//

solo per divertimento, ecco una piccola Lisp per voi

function lisp($x) { 

    if(is_string($x)) { 
     $re = '~\(([^()]*)\)~'; 
     while(preg_match($re, $x)) 
      $x = preg_replace_callback($re, 'lisp', $x); 
     return trim($x); 
    } 

    $x = preg_split('~\s+~', $x[1]); 
    $e = array_shift($x); 
    if(!$x) 
     return is_numeric($e) ? floatval($e) : $e; 

    switch($e) { 
     case '+': return lisp($x[0]) + lisp($x[1]); 
     case '-': return lisp($x[0]) - lisp($x[1]); 
     case '*': return lisp($x[0]) * lisp($x[1]); 
     case '/': return lisp($x[0])/lisp($x[1]); 

     case 'concat': return lisp($x[0]) . lisp($x[1]); 
    } 

    return function_exists($e) ? 
     call_user_func_array($e, array_map('lisp', $x)) : ''; 
} 

$input = ' 
    (strtolower 
     (concat 
      (strrev olleh) 
      (+ 22 20)))'; 

echo lisp($input); // hello42 

;))