推荐一个安全的PHP沙箱执行环境:PHPSandbox
项目介绍
PHPSandbox是一个强大的PHP 5.3.2+版本的沙箱类库,它利用Nikic的PHP-Parser来阻止在沙箱环境中运行不安全的代码。此外,它还结合了jeremeamia的FunctionParser,使得PHP可调用对象也能在沙箱中安全地运行而无需先转换为字符串。
该项目已经转移到Corveda/PHPSandbox并在此处得到积极维护,以保持其最新性和稳定性。
项目技术分析
PHPSandbox的核心特性在于其精细的白名单和黑名单机制,以及默认的安全配置。它可以重新定义内部PHP函数,使其在沙箱环境下更加安全。它还能够自定义超级全局变量和魔术常量,以便向沙箱代码暴露特定的值。以下是一些关键技术点:
- 支持动态演示系统,方便本地测试不同的沙箱配置。
- 可以重写get_defined_*和get_declared_*函数,仅向沙箱代码展示允许的函数、类等。
- 允许选择性地开启或关闭函数创建、类声明、常量定义,以及更多其他操作。
- 可以预加载和后加载可信代码,自动将它们定义的类、函数、变量等加入到沙箱的白名单中。
- 提供生成的沙箱代码,便于后续使用。
- 能够直接通过
execute方法传递参数,让选定的外部变量可见于沙箱内。
应用场景
这个库非常适合以下场合:
- 在Web应用中,为用户提供安全的代码执行环境,如在线编程学习平台或代码试炼工具。
- 在服务器端处理用户提交的脚本,防止恶意代码执行。
- 对第三方代码进行安全隔离测试。
项目特点
- 高度定制化:提供自定义验证器、错误处理器和异常处理器,实现对沙箱行为的细致控制。
- 函数拦截:能够针对函数名称列表进行拦截和验证,即使这些函数是作为字符串调用的。
- 易于使用:通过简单的API调用,即可轻松创建和配置沙箱实例。
- 安全性:内置的安全策略默认配置有助于防止常见的安全漏洞。
使用示例
function test($string){
return 'Hello ' . $string;
}
$sandbox = new \PHPSandbox\PHPSandbox;
$sandbox->whitelist_func('test');
$result = $sandbox->execute(function(){
return test('world');
});
var_dump($result); //Hello world
结语
如果你需要在你的PHP应用中执行不可信的代码,而又希望确保系统的安全性,那么PHPSandbox无疑是值得尝试的选择。其提供的强大功能和灵活性,将帮助你构建出更安全的应用环境。立即更新依赖并开始使用吧!
{
"require": {
"corveda/php-sandbox": "2.*"
}
}
安全编码,从PHPSandbox开始。
429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
