[英]How can I limit used functions in uploaded PHP file?
我正在嘗試制作一個插件系統,並且該插件包含PHP代碼。 我認為,如果某個邪惡的人到達了上傳此插件的區域,他可以上傳邪惡的代碼,所以我想限制插件文件中使用的功能,例如,如果有eval()或base64_encode函數,則上傳將失敗。
我認為這將由正則表達式來完成,但是我沒有經驗。
所以我想要這樣的東西
<?php
$file = 'plugin.php';
$content = file_get_contents($file);
if(file_is_secure($content)){
upload($file);
}else{
exit('evil');
}
?>
看這個例子
<?php
$content = file_get_contents('example.php');
preg_match_all("/(function )(\S*\(\S*\))/", $content, $matches);
foreach($matches[2] as $match) {
$function[] = "// " . trim($match) . "<br />\n";
}
natcasesort($function);
$functionlist .= "/* Functions in this file */<br />\n";
$functionlist .= "/**************************/<br />\n\n";
$functionlist .= implode('', $function);
echo $functionlist;
?>
我想要一個這樣的東西,但是要列出白名單,而不是為了使用函數,而是對於函數本身,“我的意思是function();不是function name(){}
看一下PHP的runkit擴展。 這使您可以刪除或重新定義PHP函數,並在沙盒環境中執行PHP代碼。
我如何在PHP中創建一個require_once頭文件以在函數內部使用?
[英]How can I make a require_once header file in php to be used inside functions?
PHP如何將用戶限制為可以上傳的特定數量的文件
[英]PHP How to limit users to a specific number of files that can be uploaded
如果在php類中建立連接並且在單獨的函數文件中使用mysqli_real_escape_string函數,如何使用mysql連接?
[英]How can I use mysql connection if connection is made in a php class and the function mysqli_real_escape_string is used in a separate functions file?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.