个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
30
4
我是一名集成顾问,在业余时间倾向于使用 C 和 Lua,不幸的是这不是我的日常工作 ;-(
无论如何,我倾向于认为 C 和 Lua 的混合对于许多“产品”开发来说是完美的。我目前有一个用纯 C 构建的“适配器引擎”,但实际上想将适配器代码移动到 Lua ....
例如,在 Lua 中编写 EMAIL 适配器比在 C 中容易得多...但我喜欢“C 的引擎速度”...
但现在存在安全风险的大问题,因为用户可能会在生产中将他或她想要的任何内容添加到 LUa 脚本中......显然我们可以 CHMOD 文件......但那真的是这样吗安全吗?
理想情况下,我想要 C/Lua 组合……但现在我是将 Lua 代码直接嵌入到 C 应用程序中并使用 CHAR* ……还是发出 lua_dofile??
感谢帮助
林顿
最佳答案
首先,在生产中使用 C/Lua 的缺点之一是往往更难找到可以为这些语言开发的资源。 C++ 和 JavaScript 程序员通常更容易找到。
在安全方面,这里的关键是使用领先的做法。安全是为了降低风险,没有人能期望实现完美的安全,因此您需要降低风险。
以下是我的建议:
与所有中间件一样,您需要使用强化服务器。这是第一步,如果使用任何平台破坏服务器,您就有麻烦了。中间件不应位于 DMZ 中。
您想将 Lua 代码存储在编译后的代码之外(否则您将失去使用 Lua 的优势。)尽可能确保存储安全。 CHMOD 很好,安全的数据库服务器更好。脚本存储越安全,系统就越安全。
您可以加密 Lua 源代码 - 这是一种权衡,因为它更难获得轻松更新和修改的优势。您可能需要为性能实现解密脚本缓存。
您的安全性与您最薄弱的环节一样强大。如果您提供一种通过外部访问修改 Lua 源代码的方法,这将是一个攻击 vector 。如果可以,请避免这种设计。
您应该考虑进行变更管理检查。例如,系统中存储每个 Lua 文件的校验和的单独位置。然后,如果对脚本进行了未经授权的更改,您可以中止运行,直到安全漏洞得到缓解。
除了我上面提到的缺点,我认为你的计划没有任何根本性的缺陷。如果它可以帮助制作一个好的中间件系统,我会说去做吧。尽可能降低适配器脚本遭到破坏的风险。
扩展 Donal 的评论 - 考虑到 node 的受欢迎程度我会说 JavaScript 是目前脚本化中间件的领先实践。如果您可以学习一种新的脚本语言,我会说考虑到支持、受欢迎程度和可用工具,这将是一个好主意。
关于c - 中间件:使用 C 作为引擎,Lua 作为适配器……这是不好的做法(安全风险)吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8018934/
30
4
0
非常简单的应用程序 - 您可以复制 - 粘贴 - 运行。主要只是“创建”应用程序。 - 这不是问题(可能) #include #include #include #include typede
关闭。这个问题需要details or clarity .它目前不接受答案。 想改进这个问题吗? 通过 editing this post 添加细节并澄清问题. 关闭 6 年前。 Improve t
Haskell 有一个名为 seq 的神奇函数,它接受任何类型的参数并将其简化为弱头范式 (WHNF)。 我读过一些资料[但我现在不记得他们是谁了...],它们声称“多态 seq 很糟糕”。他们在哪些
我正在编写一个脚本,该脚本应该在一堆服务器周围运行并从中选择一堆数据,包括本地服务器。选择我需要的数据所需的 SQL 非常复杂,所以我正在编写一种临时 View ,并使用 OPENQUERY 语句来获
考虑以下代码: case class Vector3(var x: Float, var y: Float, var z: Float) { def add(v: Vector3): Unit =
我正在读这个SO post关于守护线程,答案底部的引述是: But joining a demonized thread opens most likely a whole can of troubl
在阅读有关 Google webtool 工具包的内容时,看到一条声明说“同步 RPC 不好”。他们有什么理由吗?我能想到的一个很好的理由是,对最终用户的响应可能会受到远程服务器延迟或网络问题的影
我有以下 HTML: A Simple Sample Web Page By Sheldon Brown Demonstrating a few HTML feat
我正在做一项简单的任务,但我陷入困境...... output 我需要使第一行与其他所有内容保持一致,但无论我做什么,它都不想接受空格。那么,我应该纠正什么以及为什么?谢谢 public static
我在系统中有一个类,其目的列为“这可以是从午夜算起的秒数。或者带有日期的时间。”我试图解释这有多糟糕,但我无法理解我的观点。有没有人对如何解决这个问题有任何想法。 http://code-slim-j
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: When are C++ macros beneficial? Why is #define bad and
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
始终建议通过将所有代码放在 JS 文件中来避免内联 Javascript 代码,该文件包含在所有页面中。我想知道,这是否不会导致繁重的页面出现性能问题。 例如,假设我们有几十个这样的函数 functi
我主要在 AngularJS 中进行开发,最近我正在研究 Vue.js 并阅读它的指南,在它提到的一页上: By default, all props form a one-way-down bind
我正在构建一个本地化目录,但遇到了设计难题。现在,目录存储一个 Dictionary存储翻译,其中 IString可以是两种类型:Singular或 Plural .这是 IString 的简化版本:
对于我的矩阵类,我做了: template class Matrix { private: std::array, Height> Elements; stat
MSDN documentation说 public class SomeObject { public void SomeOperation() { lock(this) {
建议不要在 Python 中使用 import *。 谁能分享一下原因,这样我下次就可以避免了? 最佳答案 因为它会将很多东西放入您的命名空间(可能会影响之前导入的一些其他对象,而您不会知道它)。 因
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
G'day, 这与my question on star developers有关并到 this question regarding telling someone that they're wri
我是一名优秀的程序员,十分优秀!