Autor Zpráva
Houmer
Profil *
Ahoj, chci vytvořit takový web kam budou mít možnost uživatelé nahrávat svoje vlastní skripty, které by tam potom fungovali jako aplikace. Například máte web, někdo napíše třeba nějakou anketu v php, potom jí tam nahraje a vy jí budete moct spustit. Mě tohle zajímá hlavně z hlediska bezpečnosti. dá se to vůbec nějak napsat? dá se nějak celý web zabezpečit předtím aby se kdokoliv mohl ve všem hrabat?
ShiraNai7
Profil
Houmer:
dá se to vůbec nějak napsat? dá se nějak celý web zabezpečit předtím aby se kdokoliv mohl ve všem hrabat?

Když necháš uživatele nahrávat libovolné PHP skripty tak asi těžko :)
Houmer
Profil *
No já myslel jestli by se to nedalo nějak oddělit...
Alphard
Profil
Tak asi by bylo možné dynamicky vytvářet sandboxy úplně stejně jako se nastavují jednotlivé účty na sdíleném hostingu.
Doplňuji, že samozřejmě myslím za předpokladu, že máte svůj server nebo si ho můžete aspoň sám nastavovat.
Houmer
Profil *
No to právě nemám, tak mě napadl takový jednodušší ikdyž možná trochu nebezpečný a pomalejší způsob. kontrolovat jestli v každým tom skriptu nejsou metody pro práci se soubory, pokud ano, vyhodnotí se to jako nebezpečné. Pro práci se soubory by byla nějaká třída, která by měla pevně nastavenou cestu do složky jenom s tou aplikací a tam at si každá aplikace dělá co chce...myslíte že by to šlo?
peta
Profil
Nechtel bych to kontrolovat :)

"metody pro práci se soubory" :)
* Myslis jako file, file_get_content, file_get_csv, rm dir a neco takoveho?
* A co treba exec()? Kdyz budes chtit vyuzit linuxovy program dostpny pres php, tak si ho spustis pres exec. Kde mas v manualu alternativni prikazy jako passthru a tak. http://cz2.php.net/exec
* A co treba pouziti promenne?
$open = "ImageCreateFromJPEG";
$image = $open('aaa.jpg');
$open je bezpecny string.
* a co treba pouziji kodovani, sifrovani kodu nebo jen doplneni prazdnym mistem?
$a = 'f'.'i'.'l'.''.'e';
$a();
$a = str_replace('x','','fxixlxle');
$a();
* eval? http://cz1.php.net/manual/en/function.eval.php
* a co treba prenaseni session? Kdyz ten program spustis, tak prevezme vsechno ze tve stranky, hlavne session.
Houmer
Profil *
Máš pravdu, tímhle způsobem to nepůjde...takže asi jediné možné řešení bude to co navrhoval Alphard...

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: