Выполнение только определенных функций и переменных, доступных в PHP

Question

Я хочу создать среду программирования. Я объясню это на примере.

Один программист напишет этот код;

<html> 
<head> 
    <?php definedMetaTags(); ?> 
</head> 
</body> 

Программист сохранит этот файл и загрузит его в мою систему. Этот файл будет выполнен на стороне сервера, а затем система вернет сгенерированный код обратно.

Эта функция definedMetaTags() будет уже записана в системе.

Пример Compiler.php:

<?php 
require_once("definitionsForProgrammer.php"); 
include("uploadedfile.php"); 
?> 

Мой вопрос заключается в том, что я хочу, чтобы это uploadedfile.php только какие функции я хочу. Иначе, может быть, программист пишет некоторые коды, что я хочу, чтобы он/она делал. (Удаление файлов, соединение mysql и т. Д.)

Есть ли способ разрешить код только определенным функциям, переменным, константам?

Answer 1

Если вы стремитесь к безопасности, и вы хотите, чтобы позволить им писать функции, то короткий ответ: нет.

По существу, вы просите изолированную программу PHP, которая позволит вам ограничить, какой код можно выполнить. PHP должен был бы поддерживать это на фундаментальном уровне, чтобы он работал. Например, предположим, что вы взяли подход: «Я разрешаю пользователю писать функцию с именем« foo ». Внутри этой функции, хотя пользователь может делать всевозможные плохие вещи, например, делать системные вызовы, загружать другой код и выполнять его и т. Д. Чтобы предотвратить это, вам нужно будет осуществлять проверки на гораздо более низком уровне в системе.

Если вы хотите ограничить область действия только определением переменных, то да, вы можете это сделать. Вы можете использовать token_get_all() и token_name(), чтобы проверить файл, чтобы убедиться, что у него нет кода, который вам не нужен. Например:

foreach (token_get_all(file_get_contents("uploadedfile.php")) as $token) { 
    if (is_array($token)) { 
    echo token_name($token[0]), " "; 
    } else { 
    echo $token; 
    } 
} 

Если вам не нравятся маркеры, которые вы видите, не включайте файл. Вы могли бы теоретически защищать и от плохих функций таким образом, но это потребует значительных усилий для правильного анализа файла и обеспечения того, что они не делают что-то плохое.

ссылки:

• http://www.php.net/manual/en/function.token-get-all.php
• http://www.php.net/manual/en/function.token-name.php
• http://www.php.net/manual/en/tokens.php

Answer 2

Хорошо, если я правильно понимаю ваш вопрос. Если вы включите («uploadedfile.php»); вы приобретете все в нем.

Что вы можете сделать, это разбить код на связанные разделы (будь то через классы или просто определения функций в файле), а затем включить только тот файл/класс, который вы хотите.

(дайте мне знать, если это не то, что ваш запрашиваемая)

Answer 3

Если цель состоит в том, чтобы позволить пользователю вставить заполнители, которые будут заменены каким-либо PHP выполнения функции, то есть нет необходимости рассматривать загруженный файл как код PHP:

<html> 
<head> 
    {[definedMetaTags]} 
</head> 
</body> 

Тогда Compiler.php будет выглядеть следующим образом:

<?php 
require_once("definitionsForProgrammer.php"); 

$macros = array(); 
$macros['definedMetaTags'] = definedMetaTags(); 

$output = file_get_contents("uploadedfile.php"); 
foreach($macros as $macro=>$value) $output = str_replace("{[$macro]}", $value, $output); 

echo $output; 
?> 

definedMetaTags() функция должна быть переработана таким образом, что она возвращает тег в виде строки вместо того, чтобы печатать их непосредственно на выход.

Этот метод позволит вам определить любое количество макросов, не подвергая себя всем рискам безопасности, о которых упомянули другие.