Есть технология предотвращения исполнения вредоносного php кода. Усовершенствуйте. У вас есть другие идеи или замечания?

Question

[PO6OT]

На сайте нельзя выполнять никакие php файлы по тому, что к ним нет доступа через http (прописано в htaccess). Разрешен доступ через http только к одному файлу - index.php. Единственный способ выполнить php файл - если его включит в себя index.php. index.php включает в себя любой файл на сервере, путь к которому передает ему глобальная переменная $_GET[p].
Предположим, что мы передали файлу index.php аргумент $_GET[p] со значением "./script.php".
Тогда, чтобы избежать выполнения вредоносного кода, index.php перед включением в себя проверит script.php на наличие такового. Он скопирует содержание script.php в переменную $script, уберет из переменной все функции экранирования и проверит $script с помощью preg_match() на наличие строк, которые могут удалить или изменить важные файлы. Если вредоносный код обнаружится, то index.php не будет включать в себя script.php.

Comments

[IceJOKER]

что за бред вы только что написали ? О_О
как вы думаете есть ли скрипт, который проверяет неугодные ВАМ строки кода в файле???

[PO6OT]

IceJOKER: я имел в виду настраиваемый валидатор:D чтоб я его настроил. А вы что подумали, он сам должен догадываться, что я хочу?

[IceJOKER]

Вадим Егоров: я вас уверяю на 200%, что такого скрипта вы не найдете, вряд ли кому взбредет в голову написать такой скрипт

[PO6OT]

IceJOKER: да есть. я его описал. а теперь не хотите ли его прокомментировать пожалуйста? выслушаю и похвалу и критику

[IceJOKER]

Вадим Егоров: не хочу

Answer 1

[dxRang]

1. Валидатор кода php на php состоит из одной строчки - error_reporting(E_ALL | E_STRICT), лучше пока не придумано.
2. Лочить файл на запись нужно только на уровне системного софта с достаточными правами, и соответственно, с ограниченными правами исполнения, а никак не "обнаружить в файле строки кода, которые изменяют такой-то файл". Даже если профильтровать все функции записи/удаления файла в коде, могу на вскидку предложить два варианта обхода:
а) распаковка подгружаемого архива с заменой "неприкасаемого" файла.
б) исполнение любого обратимо-зашифрованного куска кода с ключом (ничем не отфильтровать).

Comments

[PO6OT]

но есть решение - запустить файл в песочнице - тогда и проверить, что он делает - как написал xmoonlight

[PO6OT]

не хотите ли прокомментировать мою технологию пожалуйста? выслушаю и похвалу и критику

[PO6OT]

Есть технология бесплатного получения доступа к серому IP из интернета. У вас есть другие идеи, замечания или комментарии?

Answer 2

[xmoonlight]

Sandbox и Override - реальны!

Comments

[PO6OT]

то есть надо запустить скрипт в песочнице и проверить что он будет делать с теми файлами, к которым я хочу закрыть доступ?

[xmoonlight]

Вадим Егоров: да.

[PO6OT]

ясно. а разве песочница есть на бесплатном хостинге? или мне свой сервер включать?

[PO6OT]

xmoonlight: вы здесь единственный нормальный человек

[xmoonlight]

Вадим Егоров: свой лучше.

[PO6OT]

xmoonlight: "Это расширение » PECL не поставляется вместе с PHP."

[PO6OT]

ок, только тогда придется вернуться к моему прошлому вопросу, чтоб я смог включить свой сервер Как получить доступ к серому IP из интернета?

[xmoonlight]

Вадим Егоров:

вы здесь единственный нормальный человек

Спасибо!

[PO6OT]

xmoonlight: как-раз наоборот - я здесь самый ненормальный и задаю тупые вопросы. впрочем они не тупые, просто их решить очень "сложно"

[xmoonlight]

Вадим Егоров: я так и понял)

[PO6OT]

Как получить доступ к серому IP из интернета? Может использовать VPN или что? У меня linux (raspbian)

[PO6OT]

не поможете с этим?

[xmoonlight]

Вадим Егоров: купите внешний статический IP у своего интернет-провайдера. будет и лучше и быстрее.

[PO6OT]

xmoonlight: я люблю бесплатное

[xmoonlight]

Вадим Егоров: Вадим, на бесплатном - бизнес не построить.

Answer 3

[FanatPHP]

Правду говорят - один дурак десять мудрецов в тупик поставит.
Мусор из этой головы надо вывозить вагонами.

Ты, часом, не из этой команды горемык?

Comments

[PO6OT]

ок

[PO6OT]

у меня такая-же команда получается, только делить задачи я умею, а ограничивать доступ - нет

[FanatPHP]

ты вообще ничего не умеешь. если бы ты хоть что-то умел, у тебя был бы выделенный сервер за 300р в месяц. и система контроля версий. а у тебя только нищебродский сервер и толпа сброда, которой ты не доверяешь.

[vaut]

https://vk.com/woonem
woonem.tk
Ваше творение?

[PO6OT]

vaut: да, а что

[PO6OT]

vaut: мое творение это. только главная страница сейчас не работает, а на остальные можете зайти - woonem.tk/account woonem.tk/projects woonem.tk/market

[PO6OT]

не хотите ли прокомментировать мою технологию пожалуйста? выслушаю и похвалу и критику

[PO6OT]

Есть технология бесплатного получения доступа к серому IP из интернета. У вас есть другие идеи, замечания или комментарии?

[phpus]

Боже, а я себя критикую из-за мелочи.. Жесть.

Answer 4

[phpus]

Что за бред ? В последнее время на тостере стало очень много наркоманов..

Comments

[Виктор]

phpus , го в переписку, если хотите )) freefly@live.ru

[phpus]

Mouseman: А чего я должен хотеть ?)

[PO6OT]

Есть технология бесплатного получения доступа к серому IP из интернета. У вас есть другие идеи, замечания или комментарии?

[phpus]

Ты не придумываешь, а выдумываешь.
Поучи язык. Хотя бы с протоколов начни.
Из кого твоя команда состоит ?
Впрочем не важно, если у тебя будет 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 сотрудников, кпп будет где-то 0.000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001%
Команда без знаний, бессмысленна. Так что делить обязанности, вымышленную прибыль итд. нету смысла.

Правда жизни.

[phpus]

О я нашел проблему в вертки =) Я сегодня шикарен.

[PO6OT]

phpus: обломись. ошибку починили:D

[phpus]

Вадим Егоров: догадайся почему

[PO6OT]

phpus: я отправил отчет об ошибке в "Обратную связь"

[phpus]

М да, я молчу