| Autor | Zpráva | ||
|---|---|---|---|
| Houmer Profil * |
#1 · Zasláno: 24. 1. 2013, 23:27:37
Ahoj, chci vytvořit takový web kam budou mít možnost uživatelé nahrávat svoje vlastní skripty, které by tam potom fungovali jako aplikace. Například máte web, někdo napíše třeba nějakou anketu v php, potom jí tam nahraje a vy jí budete moct spustit. Mě tohle zajímá hlavně z hlediska bezpečnosti. dá se to vůbec nějak napsat? dá se nějak celý web zabezpečit předtím aby se kdokoliv mohl ve všem hrabat?
|
||
| ShiraNai7 Profil |
#2 · Zasláno: 24. 1. 2013, 23:34:30
Houmer:
„dá se to vůbec nějak napsat? dá se nějak celý web zabezpečit předtím aby se kdokoliv mohl ve všem hrabat?“ Když necháš uživatele nahrávat libovolné PHP skripty tak asi těžko :) |
||
| Houmer Profil * |
#3 · Zasláno: 24. 1. 2013, 23:35:35
No já myslel jestli by se to nedalo nějak oddělit...
|
||
| Alphard Profil |
Tak asi by bylo možné dynamicky vytvářet sandboxy úplně stejně jako se nastavují jednotlivé účty na sdíleném hostingu.
Doplňuji, že samozřejmě myslím za předpokladu, že máte svůj server nebo si ho můžete aspoň sám nastavovat. |
||
| Houmer Profil * |
#5 · Zasláno: 25. 1. 2013, 09:08:50
No to právě nemám, tak mě napadl takový jednodušší ikdyž možná trochu nebezpečný a pomalejší způsob. kontrolovat jestli v každým tom skriptu nejsou metody pro práci se soubory, pokud ano, vyhodnotí se to jako nebezpečné. Pro práci se soubory by byla nějaká třída, která by měla pevně nastavenou cestu do složky jenom s tou aplikací a tam at si každá aplikace dělá co chce...myslíte že by to šlo?
|
||
| peta Profil |
Nechtel bych to kontrolovat :)
"metody pro práci se soubory" :) * Myslis jako file, file_get_content, file_get_csv, rm dir a neco takoveho? * A co treba exec()? Kdyz budes chtit vyuzit linuxovy program dostpny pres php, tak si ho spustis pres exec. Kde mas v manualu alternativni prikazy jako passthru a tak. http://cz2.php.net/exec * A co treba pouziti promenne? $open = "ImageCreateFromJPEG";
$image = $open('aaa.jpg');* a co treba pouziji kodovani, sifrovani kodu nebo jen doplneni prazdnym mistem? $a = 'f'.'i'.'l'.''.'e';
$a();
$a = str_replace('x','','fxixlxle');
$a();* a co treba prenaseni session? Kdyz ten program spustis, tak prevezme vsechno ze tve stranky, hlavne session. |
||
| Houmer Profil * |
#7 · Zasláno: 25. 1. 2013, 11:30:51
Máš pravdu, tímhle způsobem to nepůjde...takže asi jediné možné řešení bude to co navrhoval Alphard...
|
||
|
Časová prodleva: 11 let
|
|||
0