私はユーザーが私のPHPクラスをテストできるようにしたい、とりわけ画像を切り抜き、サイズ変更することができます。テキスト入力をPHPとして解釈する
私は、テキストフィールドにPHPコードを書いてフォームを送信して、そのコードを実行します。これどうやってするの?
また、ユーザー(誰でも)がPHPクラスをデモできるようにするのは他の安全な方法ですか?
私はユーザーが私のPHPクラスをテストできるようにしたい、とりわけ画像を切り抜き、サイズ変更することができます。テキスト入力をPHPとして解釈する
私は、テキストフィールドにPHPコードを書いてフォームを送信して、そのコードを実行します。これどうやってするの?
また、ユーザー(誰でも)がPHPクラスをデモできるようにするのは他の安全な方法ですか?
はい。 PHPでeval文を使用することができます(John http://us2.php.net/manual/en/function.eval.phpで先にリンクされています)。しかし、非常に注意してください。あなたは本当にユーザーがマシン上でコードを自由に実行できるようにしたくありません。
私の推薦は、デモを行うには別のアプローチを思い付くしようとする - おそらく柔軟な例をいくつか...しかし、彼らがコードを実行させてはいけない直接
ええ、誰もがeval()を使うのは怖いと言っています。彼らはそれをさせてくれませんでした!私はちょうど2つのデモを作ろうと思う! –
あなたはおそらくevalを使用することができますhttp://us2.php.net/manual/en/function.eval.php
これはうまくいくが、非常に危険です。 –
それは非常に危険ではない、それは非常に危険です。 –
予防措置を講じないと危険です。 –
私は、ユーザーアカウントを使用してPHPのプロセスを生成しますnext-to-no権限を使用します。読み取りと書き込みのアクセス権を1つのディレクトリに与えますが、それだけです。
あなたは無限ループなどでDoS攻撃を行っていますが、絶対に行う必要がある場合は、IEやChromeのような非常に低い権限のサンドボックスでコードを実行してください。
EVALの使用はおそらく最悪の考えです。
VMで信頼できないコードを実行すると、無限ループなどは問題になりません。 –
はeval()関数を使用しますが、はではありません。真剣に。
古いユーザーに自分のPHPをサーバー上で実行させる「安全な」方法はありません。潜在的な怪我の世界に身をさらしています。
代わりに、優れたドキュメント、コードサンプル、および自分のデモのソースを提供し、潜在的なユーザーが自分のテスト/開発サーバーで試してみるよう奨励します。
すでに述べたように、eval
機能を使用できますが、非常に危険です。ユーザーがコードをテストするようにするには、使用可能なデモページを準備します。たとえば、ユーザーがHTMLフォームを使用してパラメータを追加することもできます。
PHPやその他の汎用言語に関して、画像処理のドメインで操作を表現するのに十分な最小限の言語を考えないでください。ユーザーはこのドメイン固有言語(DSL)で式を送信し、これらの式はサーバー側で解析され、コードに渡されます。
最初に重要なことは、画像処理操作の範囲とそれらをどのように組み合わせるかについて考えることです。それは、どのように表現力豊かなものになるのかを教えてくれるでしょう。一度それを試してみたら、言語がどのように構文的に見えるかについて多くの選択肢があります。言語の構文は、使いやすさと解析の容易さとの間のトレードオフに依存することがあります。
この種の式のパーサーを作成したり見つけたりできるのであれば、ユーザーにとっては最も簡単かもしれません。実際には、誰かがこのようなケースで動作する既存の式評価ツールを推奨できますか(例えば、Smartyがユーザーが提出した式を安全に実行できるかなど)、あるいは実際にはPHPのパーサージェネレータですか?
resize(rotate("foo.png", 90), 50)
thisのような言語では、ユーザーにはあまり簡単であるかもしれないが、それはかなり単純なスタックマシンを使用して処理することができます。
"foo.png" 90 rotate 50 resize
でも簡単に、このようなXMLベースの言語にはありませんたとえば、誰かが無数の画素Aに画像のサイズを変更するには、上記の言語を使用するかもしれないため、ドメイン固有の攻撃からあなたを保護することはできませんDSLを使用して
<resize percent="50"><rotate degrees="90"><img src="foo.png"></rotate></resize>
:独自のパーサを必要としますすべてのサーバーメモリを使い切ってください。だから、ユーザが提出したスクリプトが使用できるリソースの量に制限を加えるDSLの実行環境がなければなりません。
evalを使用できますが、予防措置はありません。
「被害妄想」とは対照的に、セキュリティ上の懸念は、単に「慎重」であれば、あなたはいくつかのオプションがあります:あなたはちょうどあなたのこのプロジェクトのために、専用のApache/PHPのインスタンスを持っている場合は
アップロードしたすべてのコードの承認プロセスを編集する場合は...
ユーザーにPHPコードを実行させることは安全な方法ではありません。 – RaYell