include() 之前的 PHP 校验和

Question

我一直在开发一个允许构建第三方扩展以扩展应用程序功能的应用程序。当然，所有这些都在 PHP 中。我想通过校验和函数在某个目录中运行文件来添加一些安全填充。如果文件未通过校验和，则文件未“包含”，将通知该安装的管理员，并且模块将被禁用，直到管理员采取行动(重新启用并记录异常，或重新安装模块) .

我现在遇到的问题是每当用户运行 include() 函数时都能够运行该校验和。我宁愿不让他们背靠背运行两个函数只是为了包含一个文件，但如果必须的话我会的。并非所有第三方扩展都非常愿意运行两个函数(类似于 if(checksum_function($bleh)) include($bleh); )，即使它们是，它也会每当执行 include() 时运行校验和就更容易(也更安全)，而不是将 include() 语句的行数加倍。

我已经做了一些搜索，但没有找到太多。想法？提前致谢!

Answer 1

如果您的包含是以特定系统命名的类(例如 MyPlugin_Text)，您可以使用 PHP 的 autoloading .自动加载可用于在首次创建类的对象时自动包含文件。

极度简化的例子:

function __autoload($class_name) {

  require_once $class_name . '.php';
}

$myTextPlugin = new MyPlugin_Text(); 

显然，您会想要扩展自动加载器，例如仅对以 MyPlugin_ 开头的类进行预加载，并从特定文件夹加载这些类。

除了编写自定义包装函数外，我不知道有其他方法可以实现您想要做的事情。

总的来说，我喜欢你的想法。但是，计算校验和 - 例如使用 crc32() - 相对昂贵。以这种方式加载的内容不应该太多，也不能太大。此外，按理说，如果攻击者能够修改您系统上的 PHP 文件，他们也能够直接执行这些文件而无需您的中央应用程序。此演习的实际安全 yield 可能很小。