Как безопасно выполнить исходный код PHP из строки?

Question

[Максим Анархистов]

Суть в чём: пишу парсер псеводокода в PHP код (который должен вызывать некоторые определенные мной методы и стандартные if, for, else, etc), и после этот код будет запускаться достаточно большое число раз подряд (что при тяжёлом коде может создать серьезную нагрузку на сервер).

На текущий момент реализована схема:
Пользователь пишет псевдокод, который пишется в строку -> Псевдокод преобразуется в код PHP -> в нужный момент я запускаю этот псеводкод функцией eval().

Но такой вариант опасен тем, что при работе парсера могут возникнуть ситуации, когда пользователь сможет запустить вредоносный код. Поэтому есть несколько вариантов:
1. Копать в сторону callable
2. Использовать один из вариантов из статьи https://habrahabr.ru/post/215139/. Не очень хорошо, ибо замедляет выполнение кода, да и более безопастным не становится.
3. Использовать eval, но на этапе преобразования усиливать проверку.
4. Искать другие варианты.

Какой вариант предложите?

Answer 1

[Mikhail Osher]

Генерируете код, парсите этой библиотекой.
Фильтруете определенные функции.

Answer 2

[Юрий]

сам недавно делал подобную вещь, компилятор из псевдокода в php.
у меня на входе были тысячи функций которые могли редактировать редакторы, все формулы компилировались в один php класс в виде методов. этот файл потом инклюдился.
фильтровать вредоносные функции лучше еще на этапе анализа псевдокода и компиляции php, а не nikic parser. хотя конечно если у вас преобразование делается регулярками то без этого конечно никак.

Comments

[touol]

А вот выложить компилятор из псевдокода можно?

[Юрий]

touol, наверное поздно отвечаю, но лучше чем никогда :)
посмотрите лучше исходники twig и/или symfony expression language. они написаны очень похоже (видимо одним человеком) и я ими вдохновлялся.

возможно для ваших задач готового symfony expression language будет достаточно, мне надо было поддерживать синтаксис excel + свои фичи типа циклов

Answer 3

[Григорий Есин]

Ключевые слова: eval, runkit

Comments

[Максим Анархистов]

Можете прочитать весь вопрос?

[Григорий Есин]

Я прочитал. И, если я правильно понял вопрос, то ответ тот же: eval для выполнения кода и runkit для создания песочницы: белый список функций, классов,... php.net/manual/en/runkit.sandbox.php

Чтобы ограничить доступ к переменным. Да, видимо нужна обёртка в функцию.

[Григорий Есин]

Но есть момент: если у вас шаред-хостинг, то может оказаться, что ранкит так просто не поставить.
В таком случае да, придётся воспользоваться nikic/PHP-Parser

[Григорий Есин]

И есть ещё такие забавные штуки, как ExpressionLanguage: symfony.com/doc/current/components/expression_lang...
Может, вашему пользователю этого будет достаточно?

[Максим Анархистов]

Григорий Есин:
1. Про песочницу: нормально ли запускать её 300-1000 раз подряд только при однократном выполнении кода? Мне кажется сервер загнётся только от одного пользователя, несмотря на то что хостинг не шаред, а виртуалка на DO.
2. eval() небезопасен, ввиду своей сути. Хотелось бы избежать вредоносного действия кулхацкеров, пытающихся найти лазейку в парсере. Впрочем, решение nikic/PHP-Parser + eval подходит.
3. ExpressionLanguage не пойдёт.

Answer 4

[Сергей Протько]

1) изолировать код в песочнице, передавать в качестве аргументов только то что можно юзать (php.net/manual/en/function.create-function.php)
2) воспользоваться, например, nick/php-parser и удостовериться что не используются штуки типа global