| Autor | Zpráva | ||
|---|---|---|---|
| JanNoak Profil * |
#1 · Zasláno: 15. 4. 2014, 09:25:16
Ahoj, chtěl bych se poradit, zda existuje něco jako "safe-mod" pro spuštění PHP skriptů. Potřeboval bych aby si uživatel nahrál jakýkoliv skript na server (klasicky upload) a ten bych pak spustil, ale tak aby nemohl includovat soubory z jiný složky, otevírat soubory, měnit cokoliv atd. Prostě aby se dostal na všechno jen v rámci složky.
Díky za info Honza. |
||
| Kubo2 Profil |
#2 · Zasláno: 15. 4. 2014, 14:33:43
JanNoak:
Napíš, o čo konkrétne sa pokúšaš. Existujú v PHP nejaké zaujímavé direktívy zamerané na túto problematiku, ale nie každá z nich sa dá nastaviť v každej úrovni konfigurácie. |
||
| JanNoak Profil * |
#3 · Zasláno: 16. 4. 2014, 08:59:24
Kubo2
potřebuji vytvořit testér PHP skriptů - uživatel nahraje jakýkoliv PHP skript a ten si proženu přes funkce, které mi zkontrolují syntaxi a další potřebné věci. A pak ho rovnou potřebuji spustit. Soubor se na server nebude ukládat - pouze se spustí pomocí funkce EVAL(). Jde o to, aby skript například nemohl importovat (include/require) z nadřazených adresářů (aby například neincludoval nastavení k přístupu k databázi). Dále pak aby nemohl otevírat soubory z nadřazených adresářů, procházet složky, ... |
||
| Davex Profil |
Na kontrolu syntaxe není zvláštní zabezpečení potřeba a ke spuštění by se dal použít runkit nebo PHP Sandbox, ale ještě bych použil chroot a souborový systém jen pro čtení. Případně ještě izolovaný kontejner, který by se pravidelně přemazával ze šablony. (Tedy nic, co by se dalo zprovoznit na běžném webhostingu. Byl by potřeba vlastní server.)
|
||
|
Časová prodleva: 10 let
|
|||
0