Как защититься при использовании eval?

Question

[semki096]

Хочу сделать песочницу для php - использую функцию eval. Самая большая проблема - наверно защита от иньекций. Знаю что много об этом написано. Но может быть есть какие то новые возможности в этом плане?

Answer 1

[Михаил Серенков]

Чтобы защититься от eval, нужно не использовать eval. Остальные методы можно обойти, все зависит от времени которое это займет.

Comments

[semki096]

а если попробовать такой класс, возможны ли иньекции? https://github.com/dyatlov/php-sandbox/blob/master...

[Кирилл Несмеянов]

Конечно возможны. Пых довольно мощный язык, так что защититься от влезания в код можно лишь, так, как делают все люди для песочниц - простым поднятием виртуалок. К примеру, докер. Большинство Ci на нём построены.

Answer 2

[xutesayor]

Запретить все операции взаимодействия с внешней средой (файловой системой, удаленными серверами, базами данных и т.д.)

Answer 3

[xmoonlight]

Вот и нужно делать именно песочницу: изолированную среду исполнения кода php-процессом. А eval/не eval - не нужно к этому привязываться вообще.

Comments

[semki096]

А не подскажите - можно ли использовать Runkit_Sandbox - по описанию вроде то что надо https://habrahabr.ru/post/267495/

[xmoonlight]

semki096: вполне. НО! с оговоркой! Либа может быть "дырявая", поэтому настройку изолированной среды исполнения процесса - советую всё же сделать на верхнем уровне средствами ОС и конфигами PHP и т.д.