zabezpecenie eval-u?

d0.0b · Napísal **d0.0b**: 12.09.2010 12:42

Kód:

$file = file_get_contents($_FILES['userfile']['tmp_name']);
eval('?>'.$file.'<?');

takze mam ten spominany kod ako by som ho mohol zabezpecit napr aby niekto nemohol vlozit skodlivy kod, napr. fwrite atd...

Ďuri · Napísal **Ďuri**: 12.09.2010 12:45

Radsej napis, co chces spravit, lebo som si takmer isty, ze nech to budes zabezpecovat, ako chces, stale sa bude dat spustit skodlivy kod.

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 12:53

alebo inak, neexistuje nejaka ina funkcia ktora by zvladla spustenie skriptu?
podobne ako eval ale bezpecnejsie?

skusal som na eval a funguje

Kód:

function my_strpos($haystack, $needle) {
     if (is_array($needle)) {
         foreach ($needle as $need) {
               if (strpos($haystack, $need) !== false) {
                       return true;
               }
         }
     }else {
          if (strpos($haystack, $need) !== false) {
                       return true;
          }
     }

     return false;
}


$file = file_get_contents($_FILES['userfile']['tmp_name']);
$field = $file;
 $arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");
   if (my_strpos($field, $arr) === true) {
   die("...");
      }
     else
     {
   //echo("ok!");
      }

lenze potrebujem vsetky nebezpecne php funkcie ktore by mohol eval spustit (ako napr. na vykonanie nejakeho backup-u alebo tak) ...

Blackshadow · Napísal **Blackshadow**: 12.09.2010 12:57

Radsej napis, naco to potrebujes a co chces dosiahnut, ako pisal Duri... Lebo toto na 99% zla cesta

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 12:57

precitaj si moj druhy post je editovany

dosiahnut chcem aby sa eval-om nic nedokazilo pri spustani

Blackshadow · Napísal **Blackshadow**: 12.09.2010 13:00

Ale ten napad -> spustat uploadnuty php subor EVALom je blbost....
Preto sa pytam, naco to potrebujes..

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 13:00

pretoze dekodujem jeden php skript a na proces to tam musi byt ...

Kód:

$arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");

to $arr je nieco ako blacklist funkcii ktore ak sa nachadzaju v php uploadnutom kode sa nespusti eval-om, teda die("...") ....

chrono · Napísal **chrono**: 12.09.2010 13:29

Ak dekóduješ ten skript, čo si mi poslal, tak tam eval nepotrebuješ.

emer · Napísal **emer**: 12.09.2010 14:18

zrejme chce spravit nieco take, ze user unho moze spustat svoje skripty, ale s obmedzeniami.

ale ajtak je to blbost, lebo ked pouzijes to tvoje osetrenie a ja tam pichnem

Kód:

$U = "u"."nlink";
$U("index.php");

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 14:36

jj emer tak na toto som nemyslel ...
tak budem musiet najst inu cestu , ok dik vsetkym

stenley · Napísal **stenley**: 12.09.2010 14:39

.htaccess s disable_functions ti nepomoze?

d0.0b · Napísal autor témy **d0.0b**: 12.09.2010 14:42

stenley mas nejaky priklad?
hladam na google "disable_functions" ale nic rozumne pre htacess

stenley · Napísal **stenley**: 12.09.2010 14:54

Kód:

php_value disable_functions fopen,fwrite

ale zrejme to pojde nastavit, len ak mas pristup k php.ini

zabezpecenie eval-u?

Podobné témy