[sicurezza] disabilitare funzioni di php a metà script?

[skidx]

E' un quesito un po' strano, lo capisco, proverò a farmi capire.

Immaginatevi un'applicazione multiutente, dovrei poter permettere all'utente di installare dei suoi plugin (scritti anch'essi in php), queste funzioni definite dall'utente verrebbero invocate a un certo punto dello script, però io ho necessità di impedire all'utente di far casini, ad esempio non deve mettere le mani nel database né frugare certi file di configurazione... dovrei creare una sorta di "user space" (passatemi il paragone) dove far girare le funzioni php dell'utente, ma disabilitando lui alcune funzioni pericolose.

Si può fare questa cosa in qualche modo intelligente?

Certo potrei fare un parsing del suo script all'installazione del plugin, ma mi sembra complesso, preferirei qualcosa di meno pesante.

Grazie.

[marketto]

puoi usare la direttiva disable_functions.

[skidx]

[supersaibal]Originariamente inviato da marketto
puoi usare la direttiva disable_functions.

[/supersaibal]

Sì, ma purtroppo, mi par di capire, si può settare solo da php.ini e non dinamicamente dentro lo script.

Io ho bisogno di poter eseguire tutte le funzioni che voglio fino a un certo punto, poi da lì in poi entrare in "modalità protetta" e disabilitare certe funzioni.

Non ci riuscirò mai

[andr3a]

le funzioni che vorresti disabilitare ...


file_(get|put)_contents
fopen
sockets
mysql_(*_)?query
eval

...altre ???

fatti una lista di pregs che considerano le varie varianti delle funzioni "scomode" e parsa gli eventuali uploads con queste ... o meglio, se trovi una preg_match delle tue varianti dici all' utente "c'hai provato eh ?"

altro non mi viene in mente