在PHP中构建框架服务时,需要加载用户提交的代码以增强扩展性,但这也带来安全风险。针对用户代码可能的输出干扰和潜在的死循环、exit问题,可以采取措施进行隔离。对于输出干扰,可以通过开启输出缓存来解决;对于可能导致主逻辑受影响的代码,可以利用`proc_open`在子进程中执行,并通过`stream_select`监控进程的执行时间,确保安全。
php有时候需要写一些框架性的服务,可以由其他人员自由的提交代码,框架服务来加载用户级别的代码,从而来达到一个增强扩展性的目的。
但是通常加载其他人的代码会有一定的风险性,下面总结前两天做类似业务遇到的问题:
1.用户级别的代码里会有一些自己的输出。
在cgi的环境下比如需要生成一个页面,或者是返回一个json的时候会有一定的影响。
对于这种情况,如果是直接把用户的代码requirce进来运行的话,可以在运行用户代码之前打开输出缓存,在运行用户代码之后再关闭并清除缓存。
ob_start()
//用户代码
ob_end_clean()//关闭输出
//或ob_get_contents()//获得用户代码的输出
2.用户代码里可能会又不可预料的死循环,exit退出
这种情况,一般就是把用户的代码放到单独的进程里外部执行,可以避免影响到主逻辑。
与c一样,php也提供了一组启动外部执行的函数,如exec,system等。
最低0.47元/天 解锁文章
扫一扫
230
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
