запустить php внутри сайта, загруженного от пользователя
Христианское удовольствие.
Я начинаю с того, что говорю: «извините за мой английский, но за годы обучения я не очень хорошо говорю».
Тем не мение….
У меня есть сайт, разработанный с использованием шаблона проектирования MVC, на этом сайте пользователь может загрузить php-файл и запустить его. Для использования загруженного файла у пользователя есть токен: example.com/home/profile/advance?token=XXXXXXXXXXXXXX
Я хотел бы, чтобы этот файл, загруженный пользователем, не мог взаимодействовать с моим сервером, как если бы он находился внутри виртуальной машины.
Возможно?
Я надеюсь, что я объяснил себе.
Решение
Это абсолютно возможно. Просто добавьте токен пользователя в загрузчик форм:
<?php
$token = 'xxx';
?>
<form action="home/profile/advance?token=<?php echo htmlentities(urlencode($token)); ?>" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload" id="fileToUpload">
<input type="submit" value="Upload File" name="submit">
Это сделает $_POST в home/profile/advance?token=xxx,
Обратите внимание, что на стороне сервера генерируется токен должен содержать только буквенно-цифровые символы, но лучше обернуть htmlentities() а также urlencode() быть в безопасности.
тем не мение, обратите внимание, что разрешение пользователям загружать (и запускать) свои собственные файлы PHP является огромный риск безопасности! Я настоятельно рекомендую не разрешать им запускать PHP, а ограничивать разрешенные загрузки в raw .txt файлы. Здесь нужно рассмотреть несколько различных векторов, поэтому я бы рекомендовал реализовать следующее (любезно Определенный, с незначительными изменениями):
<?php
header('Content-Type: text/plain; charset=utf-8');
try {
// Undefined | Multiple Files | $_FILES Corruption Attack
// If this request falls under any of them, treat it invalid.
if (
!isset($_FILES['upfile']['error']) ||
is_array($_FILES['upfile']['error'])
) {
throw new RuntimeException('Invalid parameters.');
}
// Check $_FILES['upfile']['error'] value.
switch ($_FILES['upfile']['error']) {
case UPLOAD_ERR_OK:
break;
case UPLOAD_ERR_NO_FILE:
throw new RuntimeException('No file sent.');
case UPLOAD_ERR_INI_SIZE:
case UPLOAD_ERR_FORM_SIZE:
throw new RuntimeException('Exceeded filesize limit.');
default:
throw new RuntimeException('Unknown errors.');
}
// You should also check filesize here.
if ($_FILES['upfile']['size'] > 1000000) {
throw new RuntimeException('Exceeded filesize limit.');
}
// DO NOT TRUST $_FILES['upfile']['mime'] VALUE !!
// Check MIME Type by yourself.
$finfo = new finfo(FILEINFO_MIME_TYPE);
if (false === $ext = array_search(
$finfo->file($_FILES['upfile']['tmp_name']),
array(
'txt' => 'text/plain',
),
true
)) {
throw new RuntimeException('Invalid file format.');
}
// You should name it uniquely.
// DO NOT USE $_FILES['upfile']['name'] WITHOUT ANY VALIDATION !!
// On this example, obtain safe unique name from its binary data.
if (!move_uploaded_file(
$_FILES['upfile']['tmp_name'],
sprintf('./uploads/%s.%s',
sha1_file($_FILES['upfile']['tmp_name']),
$ext
)
)) {
throw new RuntimeException('Failed to move uploaded file.');
}
echo 'File is uploaded successfully.';
} catch (RuntimeException $e) {
echo $e->getMessage();
}Другие решения
Других решений пока нет …
detector