我想知道像这样实现PHP evaluator 有什么安全问题:
<?php eval($_POST['codeInput']); %>
这是在制作PHP sandbox 的背景下,因此对DB input 等进行消毒并不是一个大问题。
用户正在销毁文件所在的服务器。
我见过Ruby simulators,所以我很好奇安全方面涉及什么(至少细节模糊)。
谢谢大家。我什至不确定该接受哪个答案,因为它们都很有用。
Owen's answer 总结了我的怀疑(服务器本身会存在风险)。
arin's answer 给出了一个很好的例子来说明潜在的问题。
Geoff's answer 和 randy's answer 呼应了您需要编写自己的评估器以实现模拟类型功能的一般意见。
【问题讨论】:
不要那样做。
他们基本上可以访问您可以在 PHP 中执行的任何操作(查看文件系统、获取/设置任何类型的变量、打开与其他机器的连接以插入要运行的代码等...)
【讨论】:
eval() 函数很难清理,即使你这样做了,也肯定有办法绕过它。即使您过滤了exec,您所需要做的就是以某种方式将字符串exec 粘合到一个变量中,然后执行$variable()。您需要真正削弱语言才能实现至少某种想象中的安全性。
【讨论】:
如果你eval()'d 之类的东西,可能会遇到很大的麻烦
<?php
eval("shell_exec(\"rm -rf {$_SERVER['DOCUMENT_ROOT']}\");");
?>
这是一个极端的例子,但那样的话您的网站就会被删除。希望您的权限不允许这样做,但它有助于说明清理和检查的必要性。
【讨论】:
您可以说很多话。这些问题并非特定于 PHP。
这是简单的答案:
您的机器(或数据库)的任何输入都需要清理。
您发布的代码 sn-p 几乎可以让用户运行他们想要的任何代码,因此特别危险。
这里有一篇关于代码注入的很好的介绍性文章:
【讨论】:
如果您允许在您的服务器上运行任意代码,它就不再是您的服务器了。
【讨论】:
亲爱的上帝不。我什至对标题感到畏缩。允许用户运行任何类型的任意代码就像将服务器交给他们
我知道我上面的人已经说过了。但相信我。有人可以告诉您清理您的输入的次数永远不够。
如果您真的,真的想要允许用户运行某种代码。通过创建用户可以用来执行此操作的某种伪语言,使用户可以使用命令的子集。 A-la bbcode 或 markdown 的工作方式。
【讨论】:
如果您希望构建 online PHP interpreter,则需要构建实际的 REPL 解释器,而不是使用 eval。
否则,永远不要执行任意用户代码。曾经。
【讨论】:
不允许在您的服务器上执行未经过滤的代码,期间。
如果您想创建一个允许交互式演示语言的工具,例如这里看到的工具:http://tryruby.hobix.com/ 我会自己编写语言的子部分。理想情况下,您将使用它向新程序员演示简单的概念,因此如果您正确实现所有功能,这无关紧要。
通过这样做,您可以通过已知可接受输入的白名单来控制输入。如果输入不在白名单上,则不会执行。
祝你好运!
【讨论】:
正如已经回答的那样,您需要清理您的输入。我猜你可以使用某种正则表达式过滤来删除不需要的命令,例如“exec”,基本上每个恶意命令 PHP 必须提供(或可能被利用),而且很多。
【讨论】: