gpt4 book ai didi

php - 使用 PHP 和/或 Maxima 的 Maxima 命令的用户输入验证

转载 作者:行者123 更新时间:2023-11-28 22:06:12 26 4
gpt4 key购买 nike

我在 tomcat 服务器上运行了 ma​​xima,我使用 php 访问它。

在我的网站上,用户能够执行使用 php 发送到我的 tomcat 服务器的 maxima 命令。

但是,这给我留下了确保用户提供的输入是安全的问题。例如,我想禁止使用危险的最大值函数,例如 writefile(以及许多其他函数)。

目前我只是使用 php 验证输入,使用列入黑名单的单词列表,我使用 strpos 检查它们的出现。显然这根本不安全,因为用户可以简单地输入 'write' 。 '文件' 。 '()' 而不是 writefile(),从而绕过了对列入黑名单的单词的检查。

我怀疑我应该使用 PHP 来确保提供的输入是安全的,所以我想知道是否有办法将我的 tomcat 服务器上 maxima 内的某些功能列入黑名单?

最佳答案

IMO,多层安全解决方案是您唯一的选择。

  1. 尽可能多地验证 php 用户输入。不要忘记限制最大允许输入长度

  2. Maxima 是开源的,因此您可以删除所有“危险”命令。我的 lisp 知识有限,所以我不能说用户是否能够绕过这个限制。

  3. 将您的 tomcat 放入 jail /虚拟机中。

关于php - 使用 PHP 和/或 Maxima 的 Maxima 命令的用户输入验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36794632/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com