Я хочу выполнить php-скрипт из php, который будет использовать разные константы и разные версии уже определенных классов.
Есть ли песочница php_module, в которой я мог бы просто:
sandbox('script.php'); // run in a new php environment
вместо
include('script.php'); // run in the same environment
Или proc_open () - единственный вариант?
PS: скрипт недоступен через Интернет, поэтому fopen ('http://host/script.php ') не вариант.
Существует runkit, но вам может быть проще просто вызвать сценарий из командной строки (используйте shell_exec), если вам не нужно никакого взаимодействия между главным и дочерним процессами.
Это класс на GitHub, который может помочь на ранних этапах, но выглядит многообещающим.
https://github.com/fregster/PHPSandbox
Также обратите внимание на оператор обратного апострофа:
$sOutput = `php script_to_run.php`;
Это позволит вам проверить вывод выполняемого скрипта. Однако обратите внимание, что сценарий будет запускаться с имеющимися у вас привилегиями, но вы можете обойти это, используя sudo в Linux.
Этот подход также предполагает, что у вас установлен PHP CLI, что не всегда так.
Есть Runkit_Sandbox - вы можете заставить его работать, это расширение PHP . Я бы сказал, как идти.
Но вам может потребоваться создать собственную «песочницу», например путем сброса состояния глобальной переменной суперглобальных переменных, которые вы используете.
class SandboxState
{
private $members = array('_GET', '_POST');
private $store = array();
public function save() {
foreach($members as $name) {
$this->store[$name] = $$name;
$$name = NULL;
}
}
public function restore() {
foreach($members as $name) {
$$name = $this->store[$name];
$this->store[$name] = NULL;
}
}
}
Использование:
$state = new SanddboxState();
$state->save();
// compile your get/post request by setting the superglobals
$_POST['submit'] = 'submit';
...
// execute your script:
$exec = function() {
include(func_get_arg(0)));
};
$exec('script.php');
// check the outcome.
...
// restore your own global state:
$state->restore();
Именно для этой цели я разработал класс песочницы с лицензией BSD. Он использует библиотеку PHPParser для анализа изолированного кода, проверки его на соответствие настраиваемым пользователем белым и черным спискам, а также предлагает широкий спектр параметров конфигурации наряду с разумными настройками по умолчанию. Для ваших нужд вы можете легко переопределить классы, вызываемые в вашем изолированном коде, и направить их к другим.
Проект также включает набор инструментов песочницы (используйте только на вашем локальном компьютере!), Который можно использовать для экспериментов с настройками песочницы, а также полное руководство и документацию по API.
https://github.com/fieryprophet/php-sandbox
выполнение динамической функции плагина, которая позволяет загруженному файлу и функции выполнять все, что угодно, однако может принимать и возвращать только переменные, которые могут быть json_encodeed.
function proxyExternalFunction($fileName, $functionName, $args, $setupStatements = '') {
$output = array();
$command = $setupStatements.";include('".addslashes($fileName)."');echo json_encode(".$functionName."(";
foreach ($args as $arg) {
$command .= "json_decode('".json_encode($arg)."',true),";
}
if (count($args) > 0) {
$command[strlen($command)-1] = ")";//end of $functionName
}
$command .= ");";//end of json_encode
$command = "php -r ".escapeshellarg($command);
exec($command, $output);
$output = json_decode($output,true);
}
внешний код полностью изолирован, и вы можете применить любые ограничения разрешений, которые захотите, выполнив sudo -u restricedUser php -r ....
Я знаю, что это не на 100% связано с темой, но, может быть, полезно для кого-то н_н
function require_sandbox($__file,$__params=null,$__output=true) {
/* original from http://stackoverflow.com/a/3850454/209797 */
if($__params and is_array($__params))
extract($__params);
ob_start();
$__returned=require $__file;
$__contents=ob_get_contents();
ob_end_clean();
if($__output)
echo $__contents;
else
return $__returned;
};
