Модульный фреймворк на PHP, как защитить?

Question

Карл Майнхофф @KarleKremen

Игнорирую Bootstrap

PHP

Модульный фреймворк на PHP, как защитить?

Вопрос уже поднимался мной же, но тогда никто не дал мне ответа, который мне бы помог. Разрабатывается фреймворк для корпоративных интранетов, для большей гибкости и удобства разработки решено использовать модульную схему: есть ядро, состоящее из библиотек, и модули, подключаемые к этому ядру и использующее библиотеки для взаимодействия с базой данных, конфигурацией и проч. Стоит вопрос, как запретить модулю напрямую обращаться к БД, читать файлы и выполнять прочие потенциально опасные действия. Например, модуль может использовать для обращения к БД написанную библиотеку-обертку, но не может использовать напрямую MySQLi или PDO.

Был вариант использовать Suhosin и eval, но он не подходит по двум причинам:

Фреймворк становится тяжело переносимым, то есть для его работы нужно как минимум собирать и устанавливать Suhosin. Получаем фреймворк, работающий только на VPS/VDS.
Для передачи данных модулю нужно ставить дичайшие костыли типа манифестирования параметров функции для того, чтобы можно было получить нужные данные в эти параметры (блин, даже описать нормально не получается).

Есть ли вообще решение этой проблемы?

Вопрос задан более трёх лет назад
501 просмотр

1 комментарий

Подписаться 1 Оценить 1 комментарий

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 5

2 комментария

Карл Майнхофф @KarleKremen Автор вопроса

Это случайно не мой ли пост был? Нормальный интерфейс для общения с ядром придумать все же легче, чем придумать защищенный нормальный интерфейс. И кстати, насчет "все равно обойдут запреты" - не скажете, как именно?

Написано более трёх лет назад
D' @Denormalization

Карл Кремень:
>Это случайно не мой ли пост был?
Нет, это был другой велосепидист. Но идеи были на столько же безумны (что-то вроде "Мой PHP фреймворк должен работать на хостингах без PHP")

>И кстати, насчет "все равно обойдут запреты" - не скажете, как именно?
Чтобы знать КАК обойти запреты, нужно знать КАК будут сделаны данные запреты. Если и есть решение по ограничению, то 99% есть и решение как обойти данное ограничение.

Написано более трёх лет назад

2 комментария

Карл Майнхофф @KarleKremen Автор вопроса

Тф... Да даже если он их и не знает, то узнать это при открытом доступе к файлам не составит труда. Ведь пароль придется хранить либо в PHP-файле, либо в конфиге. А проект опенсорцный, так что узнать будет несложно, где именно. И тогда file_get_contents и все, пароль уже есть. Разве не так?

Написано более трёх лет назад
Lander @usdglander Куратор тега PHP

Карл Кремень: Ну ХЗ. Тут на самом деле очень много зависит от того как этот фреймворк планируется использовать...
Как вариант - делать ядро дополнением к PHP, зашивать в него жестко параметры доступа к БД, и компилировать для каждого нового проекта. Хотя при желании, конечно и оттуда можно будет достать.

Написано более трёх лет назад

9 комментариев

Карл Майнхофф @KarleKremen Автор вопроса

Собственно говоря, это и есть CMS. Модули будут, конечно же, писать программисты. Но ведь это нек отменяет всяких кулхацкеров, у которых если они ничего не сломали, то день зря прошел. Кто мешает такому вот хацкеру написать "модуль", который залезет в БД и похерит всех пользователей? Или сменит пароль администратора в конфигах?

Написано более трёх лет назад
D' @Denormalization

Карл Кремень:
>Или сменит пароль администратора в конфигах?
Яснопонятно :facepalm:

Написано более трёх лет назад
Карл Майнхофф @KarleKremen Автор вопроса

Код, говорите? Вы точно хотите ЭТО видеть? Оно же пустое как барабан.

Написано более трёх лет назад
trevoga_su @trevoga_su

Карл Кремень: конечно хотим. Ща мы тебе ревью устроим))

Написано более трёх лет назад
Карл Майнхофф @KarleKremen Автор вопроса

D' Normalization: ошибся, конечно в конфигах нет никакой авторизационной информации. И тем не менее...

Написано более трёх лет назад
Карл Майнхофф @KarleKremen Автор вопроса

trevoga_su: https://bitbucket.org/kfkdevelcenter/intranet-core
Сильно не пинайте, но конструктивная критика к месту.

Написано более трёх лет назад
D' @Denormalization

Карл Кремень: namespace, autoload, шаблонизаторы - не слышали?

Написано более трёх лет назад
trevoga_su @trevoga_su

D' Normalization: ++++

Карл Кремень: почитай об MVC
о шаблонах

в коде набор каких-то непонятных директорий, файлов, так писали лет 10 назад
архитектуры нет, я ее не вижу
я не вижу что конкретно сделано в фреймворке
какие слои, в чем удобство?
где анонсированный слой для работы с СУБД?

Написано более трёх лет назад
Карл Майнхофф @KarleKremen Автор вопроса

trevoga_su:
О MVC я знаю сам и хочу реализовать это для модулей. Из слоев готов только libconfig. Архитектуры нет хотя бы потому, что пока почти ничего нет. Пока не решится вопрос о защите модулей, я могу писать только слои типа оберток над PDO. Ибо все остальное планируется реализовать как модули.

Написано более трёх лет назад

Комментировать

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+2 ещё

Средний
Как вывести два поля input при определенном option в select в определенном элементе?
- 1 подписчик
- час назад
- 15 просмотров
0

ответов
PHP

+2 ещё

Средний
Проблема с отображением данных о городах из таблицы в запросе SQL?
- 1 подписчик
- час назад
- 13 просмотров
1

ответ
PHP

Простой
Как узнать сумму выброщенных чисел из массива?
- 1 подписчик
- 2 часа назад
- 34 просмотра
3

ответа
PHP

Простой
Как через foreach прочитать два файла в масив?
- 1 подписчик
- 4 часа назад
- 49 просмотров
1

ответ
PHP

Простой
Как реализовать склонения слов после чисел в исходном коде php?
- 1 подписчик
- 7 часов назад
- 72 просмотра
2

ответа
PHP

Простой
Случайный вывод элементов на php?
- 1 подписчик
- 14 часов назад
- 71 просмотр
1

ответ
PHP

+1 ещё

Средний
Как передать значение из одной страницы в скрипт формы, чтобы результат работы этого скрипта вывести в новой вкладке?
- 1 подписчик
- вчера
- 95 просмотров
3

ответа
PHP

+1 ещё

Простой
Как локализовать дату регистрации пользователя wordpress?
- 1 подписчик
- вчера
- 95 просмотров
3

ответа
PHP

Простой
Как стать oembed провайдером?
- 1 подписчик
- вчера
- 61 просмотр
0

ответов
PHP

Простой
Вывод определенной информации на страницах с конкретными именами в адресе URL с помощью strpos?
- 1 подписчик
- 06 мая
- 76 просмотров
2

ответа
Показать ещё Загружается…

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP разработчик

Living Core

от 120 000 ₽

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

Верстка лендинга из фигмы

08 мая 2024, в 22:04

500 руб./за проект

Необходим UI/UX-дизайн 1 (главной) страницы новостной социальной сети

08 мая 2024, в 21:50

10000 руб./за проект

Уведомление из Google таблицы в Telegram бот

08 мая 2024, в 21:37

3500 руб./за проект

Я честно говоря плохо представляю как можно запретить писать в коде модуля mysqli_query ))) Кстати, а кто писать модули будет? Я лично в PHP плохо шарю, но вижу один выход - модуль сначала проверяется компетентными людьми на наличие запрещенных функций, а только потом может быть использован. Но это при условии, что модули будет писать ограниченный круг разработчиков, а не любой желающий.

Answer 1 · 2016-08-18 14:17:25

Ответ от Алексей Ярков: Я честно говоря плохо представляю как можно запретить писать в коде модуля mysqli_query ))) Кстати, а кто писать модули будет? Я лично в PHP плохо шарю, но вижу один выход - модуль сначала проверяется компетентными людьми на наличие запрещенных функций, а только потом может быть использован. Но это при условии, что модули будет писать ограниченный круг разработчиков, а не любой желающий.

Answer 2 · 2016-08-18 12:07:24

Данный пост напомнил мне местного кулибина, который тоже делал свой супер фреймворк со всякими безумными идеями а-ля "запретить модулям использовать PDO" и "Я использую eval, я дурачек".

Решение может и есть, но есть ли в нем смысл? Зачем запрещать что-то модулям? Тем кому надо, все равно обойдут запреты, а логику подобные запреты усложнят в разы.

Лучше придумайте нормальный интерфейс для общения с ядром, чтобы это было удобно, вместо того чтобы заниматься ерундой.

Answer 3 · 2016-08-18 12:03:10

Lander @usdglander Куратор тега PHP

Yipee-ki-yay

Я так понимаю что модуль знает логин и пароль для доступа к БД?

Ответ написан более трёх лет назад

2 комментария

Answer 4 · 2016-08-18 12:10:55

Проект рассчитывается на то, чтобы модули к нему писались не только моими руками, но и другими пользователями.

Например, модуль может использовать для обращения к БД написанную библиотеку-обертку, но не может использовать напрямую MySQLi или PDO.

Другие пользователи - это кто? Кухарки? Или программисты? Если второе, то в чем проблема написать документацию и четко объяснить клиентам, как пользоваться системой?

читать файлы и выполнять прочие потенциально опасные действия

Смысл тогда в этом фреймворке? Зачем он? Тут под условие подходит CMS, а не фреймворк.

PS код в студию, аж интересно стало,что это за чудо фреймворк такой.

Answer 5 · 2016-08-18 13:19:25

Ты не стой стороны лезеш. Сделай отдельный сервер-сервис(котором управляют только ты и может быть доверенные) закрытый от других модулей, и отвечает на их ПРАВИЛЬНЫЕ-запросы, файлами или данными. Все неправильные запросы идут лесом. И все все твои проблемы отпали.

Answer 6 · 2016-08-18 13:40:08

API сделайте и все остальные модули общаются с ядром только через API куча проблем сразу решится и доступ к базе и безопасность и гибкость, о eval забудете как в страшном сне

Модульный фреймворк на PHP, как защитить?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт