Bonjour,
Pour un projet perso j'aurai besoin d'autoriser les utilisateurs d'un site à écrire eux même un bout de code PHP (des fonctions de calculs pour l'essentiel).
Donc évidemment pour éviter que le serveur ne soit piraté, ou attaqué de diverses manières, je me demandais s'il était possible de limiter les actions d'un script php appellé via un call_user_func().
L'idée est d'interdire tout accès disque, tout include de fichier, tout envoi d'email, tout accès socket, tout appel au shell etc... en gros la fonction utilisateur ne doit pouvoir faire que des calculs, accéder à certaines données en mémoire et renvoyer un résultat.
Je suis ouvert à toute approche simple, même si elle implique d'utiliser une autre syntaxe/un autre langage pour les fonctions utilisateur.
La seule contrainte est que le moteur qui appellera ces fonctions sera côté serveur (donc pas de javascript côté navigateur).
Partager