我想知道什麼安全問題也有以實現PHP evaluator這樣的:評估用戶代碼的安全性問題是什麼?
<?php eval($_POST['codeInput']); %>
這是在作出PHP sandbox所以消毒對DB input等的情況下是不是一個巨大的問題。
用戶摧毀服務器上的文件託管在是。
我見過Ruby simulators所以我很好奇什麼是安全智慧(至少含糊的細節)。
謝謝大家。我甚至不確定接受哪個答案,因爲它們都很有用。
Owen's answer總結了我所懷疑的(服務器本身會有風險)。
arin's answer給出了潛在問題的一個很好的例子。
Geoff's answer和randy's answer反映了您需要編寫自己的評估程序以實現模擬類型功能的一般觀點。
可能成爲真正的大麻煩,如果你eval()倒是有點像
<?php
eval("shell_exec(\"rm -rf {$_SERVER['DOCUMENT_ROOT']}\");");
?>
這是一個極端的例子,但這種情況下,您的網站將只是被刪除。希望你的權限不會允許它,但是,它有助於說明需要進行消毒&檢查。
不這樣做。
他們基本上可以訪問任何你可以在PHP做(看看周圍的文件系統,獲取/設置任何類型的變量,打開連接到其他機器中插入代碼運行,等...)
有很多東西你可以說..關注是不特定於PHP。
這裏的答案很簡單:
任何輸入到你的機器(或數據庫)需要進行消毒。
你發佈的代碼片段幾乎可以讓用戶運行他們想要的任何代碼,所以這是特別危險的。
有上代碼注入這裏一個不錯的介紹性文章:
這不是代碼注入我非常擔心 - 我希望人們能夠完成他們自己的代碼。我更擔心他們是否可以訪問我的服務器或其他東西。 – 2008-09-25 23:47:07
啊。那麼,你原來的問題的片段不是要走的路。如果您的用戶要編寫代碼,您可以編寫一個交互式頂層,限制您實現的功能,爲每個用戶提供一個您管理的UNIX帳戶,或者最簡單:讓他們在自己的機器上運行代碼。 – keparo 2008-09-27 03:53:15
如果你允許任意代碼在你的服務器上運行,它不再是你的服務器。
足夠公平,對任何隱約參與測試平臺模擬器的想法都是足夠的。我見過在線Ruby評估者,只是好奇而已。 – 2008-09-25 23:47:47
親愛的上帝NO。即使在標題上我也會畏縮。允許用戶運行任何類型的任意代碼就像是交給他們
我知道我上面的人就已經表示,遞給服務器。但相信我。這永遠不會有人能告訴你清理你的輸入。
如果你真的,真的想讓用戶運行某種代碼。通過創建用戶可以使用的某種psudo語言來爲用戶提供可用命令的子集。 a-la bbcode或markdown的工作方式。
待辦事項不允許您的服務器,週期上執行未經過濾的代碼。
如果你想創建一個工具,允許交互式演示一種語言,例如這裏看到的工具:http://tryruby.hobix.com/我會努力編寫自己的語言的子部分。理想情況下,您將使用它向新程序員演示簡單的概念,因此,如果您正確實施所有功能,則無關緊要。
通過這樣做,您可以通過白名單控制已知可接受輸入的輸入。如果輸入不在白名單中,則不執行。
祝你好運!
如果您要構建online PHP interpreter,則需要構建實際的REPL解釋器,而不是使用eval。
否則,永遠不會執行任意用戶代碼。永遠。
的eval()功能是很難消毒,即使你那裏做肯定會變通的辦法。即使你過濾了exec,你所需要做的就是以某種方式將字符串exec粘貼到變量中,然後執行$variable()。你需要真正削弱語言才能達到某種想象的安全。
是的,我想知道他們會有什麼樣的文件訪問。這是問題所在。謝謝。 – 2008-09-25 23:46:32