Autor Zpráva
JanNoak
Profil *
Ahoj, chtěl bych se poradit, zda existuje něco jako "safe-mod" pro spuštění PHP skriptů. Potřeboval bych aby si uživatel nahrál jakýkoliv skript na server (klasicky upload) a ten bych pak spustil, ale tak aby nemohl includovat soubory z jiný složky, otevírat soubory, měnit cokoliv atd. Prostě aby se dostal na všechno jen v rámci složky.

Díky za info
Honza.
Kubo2
Profil
JanNoak:
Napíš, o čo konkrétne sa pokúšaš. Existujú v PHP nejaké zaujímavé direktívy zamerané na túto problematiku, ale nie každá z nich sa dá nastaviť v každej úrovni konfigurácie.
JanNoak
Profil *
Kubo2
potřebuji vytvořit testér PHP skriptů - uživatel nahraje jakýkoliv PHP skript a ten si proženu přes funkce, které mi zkontrolují syntaxi a další potřebné věci. A pak ho rovnou potřebuji spustit. Soubor se na server nebude ukládat - pouze se spustí pomocí funkce EVAL().

Jde o to, aby skript například nemohl importovat (include/require) z nadřazených adresářů (aby například neincludoval nastavení k přístupu k databázi). Dále pak aby nemohl otevírat soubory z nadřazených adresářů, procházet složky, ...
Davex
Profil
Na kontrolu syntaxe není zvláštní zabezpečení potřeba a ke spuštění by se dal použít runkit nebo PHP Sandbox, ale ještě bych použil chroot a souborový systém jen pro čtení. Případně ještě izolovaný kontejner, který by se pravidelně přemazával ze šablony. (Tedy nic, co by se dalo zprovoznit na běžném webhostingu. Byl by potřeba vlastní server.)

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: