Первое что приходит в голову это составить словарь запрещенных функций и методов и тупо искать есть ли такое в скрипте, но как-то это невысокотехнологично.
Помогите с созданием алгоритма :-)
Спустя 1 минута, 46 секунд (13.11.2010 - 17:28) Семён написал(а):
Ломанут всё равно 
Спустя 1 минута, 47 секунд (13.11.2010 - 17:30) Basili4 написал(а):
Jaska
я вообще редко согласен с Семеном но в этом случае 100% ломанут
я вообще редко согласен с Семеном но в этом случае 100% ломанут
Спустя 1 минута, 48 секунд (13.11.2010 - 17:32) Семён написал(а):
| Цитата (Basili4 @ 13.11.2010 - 18:30) |
| Jaska я вообще редко согласен с Семеном но в этом случае 100% ломанут |
| Цитата |
| Все - по согласию, хотя и с кулаками. (Михаил Мамчич) |
Спустя 4 минуты, 33 секунды (13.11.2010 - 17:36) DmitryOpalev написал(а):
Ну ведь нету специальных функции для взлома... используют те, которые есть... как просчитать это?
Спустя 30 минут, 10 секунд (13.11.2010 - 18:07) Nikitian написал(а):
Вот пример, который по вхождению ключевых слов никогда не определится:
echo`$_GET['commanda']`;
Спустя 1 час, 32 секунды (13.11.2010 - 19:07) Jaska написал(а):
Я полагаюсь на то что если модуль не содержит подозрительных мест, выявленных анализатором, то модератору незачем его проверять вручную. Вообще заливать модули планируется не кому попало, а определенному кругу лиц, в моем случае админам крупных dc-хабов. Это сужает риск :)
2 Семён
2 Семён
| Цитата |
| Ломанут всё равно |
Ну, попробовать то можно ведь, разве не так? И вообще если на то пошло, сломать можно вообще все :)
2 Basili4
| Цитата |
| я вообще редко согласен с Семеном но в этом случае 100% ломанут |
ребят вот вы говорите так, а .... как говортся абаснуй, докажи :-D
если выявить максимальное количество возможных уязвимостей то можно создать вполне безопасный анализатор, по моему мнению, но поскольку я не являюсь программистом по образованию это всего лишь мое хобби, умные дяди профессора мне не рассказывали про сложные и хитрые алгоритмы, изобретать велосипед не хочется, а вот увидеть ваши решения хочется.
2 Nikitian
| Цитата |
Вот пример, который по вхождению ключевых слов никогда не определится: echo`$_GET['commanda']`; |
Ну во-первых что плохого в этом коде? Что можно тут накуралесить?
Во-вторых echo в моем случае будет запрещено, у меня система шаблонов и все выводы осуществляются только через методы класса шаблона.
Спустя 26 минут, 52 секунды (13.11.2010 - 19:34) Nikitian написал(а):
Jaska
А echo там и не главное. Главное - вид кавычек и таких фишек в пыхе хоть жопой жуй ;) Можно и без него. Выводить данные можно и принтами, die-exit... Можно даже заморочиться ошибкой выводить, что-то типа:
Объясните в чём смысл давать пользователям возможность исполнения php-кода?
А echo там и не главное. Главное - вид кавычек и таких фишек в пыхе хоть жопой жуй ;) Можно и без него. Выводить данные можно и принтами, die-exit... Можно даже заморочиться ошибкой выводить, что-то типа:
$a=`$_GET['commanda']`;
call_user_func($a);
Объясните в чём смысл давать пользователям возможность исполнения php-кода?
Спустя 50 минут, 20 секунд (13.11.2010 - 20:24) DmitryOpalev написал(а):
Наверно, чтоб можно было сразу посмотреть 
Спустя 51 минута (13.11.2010 - 21:15) Jaska написал(а):
2 Nikitian
| Цитата |
| Я полагаюсь на то что если модуль не содержит подозрительных мест, выявленных анализатором, то модератору незачем его проверять вручную. Вообще заливать модули планируется не кому попало, а определенному кругу лиц, в моем случае админам крупных dc-хабов. Это сужает риск :) |
Вы прочли этот абзац? Это не простые пользователи, но отвечу на ваш вопрос - чтобы придать уникальность каждой странице, а так же позволить совершенствоваться сайту без усилий его основных разработчиков, интересные реализации можно будет включить в основной функционал.
Эх мечты, мечты.. :)
А echo там и не главное. Главное - вид кавычек и таких фишек в пыхе хоть жопой жуй ;) Можно и без него. Выводить данные можно и принтами, die-exit... Можно даже заморочиться ошибкой выводить, что-то типа:
$a=`$_GET['commanda']`;
call_user_func($a);
Писав про echo я имел ввиду, что не разрешу пользоваться стандартными функциями php за исключением определенного списка который сочту безопасным.
Спустя 1 день, 21 час, 11 минут, 12 секунд (15.11.2010 - 18:27) Jaska написал(а):
Ну где же вы гении программирования?) Нужна Ваша помощь :-)
Спустя 1 час, 25 минут, 24 секунды (15.11.2010 - 19:52) twin написал(а):
Чем помочь? Покряхтеть чтоли?
Где код, где варианты, где предмет обсуждения?
Показывай, будем посмотреть.
Где код, где варианты, где предмет обсуждения?
Показывай, будем посмотреть.
Спустя 2 часа, 7 минут, 24 секунды (15.11.2010 - 21:59) DmitryOpalev написал(а):
Да!
Спустя 19 часов, 53 минуты, 19 секунд (16.11.2010 - 17:53) Jaska написал(а):
А тему-то вы читали? Сообщения?
Мне нужен алгоритм, причем тут код? С кодом то я как-нить справлюсь)
Единственный алгоритм который приходит в голову - прочесыавть по тексту на поиск имен запрещенных функций, в моем случае должны быть запрещены абсолютно все функции php за исключением некоторых..
Поскольку идея показалась громоздкой и откровенно говорят велосипедом, решил обратиться за советом к Вам.
Мне нужен алгоритм, причем тут код? С кодом то я как-нить справлюсь)
Единственный алгоритм который приходит в голову - прочесыавть по тексту на поиск имен запрещенных функций, в моем случае должны быть запрещены абсолютно все функции php за исключением некоторых..
Поскольку идея показалась громоздкой и откровенно говорят велосипедом, решил обратиться за советом к Вам.