Discussion :

[pragmatique]

Bonjour,


Pour un projet perso j'aurai besoin d'autoriser les utilisateurs d'un site à écrire eux même un bout de code PHP (des fonctions de calculs pour l'essentiel).

Donc évidemment pour éviter que le serveur ne soit piraté, ou attaqué de diverses manières, je me demandais s'il était possible de limiter les actions d'un script php appellé via un call_user_func().

L'idée est d'interdire tout accès disque, tout include de fichier, tout envoi d'email, tout accès socket, tout appel au shell etc... en gros la fonction utilisateur ne doit pouvoir faire que des calculs, accéder à certaines données en mémoire et renvoyer un résultat.

Je suis ouvert à toute approche simple, même si elle implique d'utiliser une autre syntaxe/un autre langage pour les fonctions utilisateur.
La seule contrainte est que le moteur qui appellera ces fonctions sera côté serveur (donc pas de javascript côté navigateur).

[rawsrc]

Salut,

Pour bien faire : m'est d'avis que tu n'échapperas pas au parsage de l'équation reçue.

Une autre approche, c'est de purger pas à pas le texte des valeurs autorisées : parenthèses, crochets, signes, valeurs numériques... et si à la fin ta chaîne n'est pas vide alors elle contient quelque chose de non autorisé -> poubelle. Dans ce cas, tu ne vérifies pas la validité de la chaîne (correspondance des parenthèses, emplacement des signes...) comme le permet un parsage soigné, tu ne t'assures uniquement que de sa non dangerosité.

Un truc dans le genre avec (if (str_replace(array(autorisés), '', $text) !== '') { // poubelle }

[pragmatique]

En effet merci de cette suggestion, le parsage "inversé" pourrait résoudre le problème, il manque sans doute un moyen d'autoriser toutes les fonctions mathématiques (abs,cos,ceil ...) car un simple replace ne fera pas la différence entre "cos" et "coscos" par exemple alors que "coscos" n'a rien à faire là.

En théorie on doit pouvoir extraire tous les "mots" (commençant par une lettre, au moins 3 caractères et finissant par une lettre ou un digit) du script avec preg_match_all puis voir si il y a au moins un mot non autorisé dans la liste ... faut que je creuse cette piste.

Bon il risque d'y avoir d'autres surprises en cours de route ... mais ça pourrait être un début.

Après si je veux autoriser des déclarations de variables dans la fonction utilisateur je ne pense pas que ça suffira.

[rawsrc]

Pour ces problèmes, il suffit d'adapter la chaîne cherchée par exemple de cos en cos(...
Après, si tu veux vraiment offrir un éditeur mathématique en bonne et due forme : ne reste plus qu'à coder le parseur qui va bien en fonction de tes contraintes (c'est pas simple crois-moi )