问用户提交的代码演示区域的安全防范措施和技术

EN

正如Frank指出的，如果您想要保持高级别的安全性，请使用白名单技术。当然，这是有代价的(可能限制性太强，难以实现)。

另一种途径是发展黑名单技术。也就是说，只允许没有触发任何铃铛的代码。这更容易，因为您必须指定更少的东西，但它不会捕获新的漏洞。

这两种技术在网络上都有很多可用的信息。

依赖CodeIgniters安全功能(XSS、过滤等)不会让你走得太远，因为大部分的片段都不会被允许通过。

不管你做什么，你都要记住这一点：

不要认为恶意代码只会伤害你网站的访问者。它还可以通过解析器/代码检查器来危害您的服务器。例如，让我们假设Alice上传片段foo。Alice有意制作代码片段，这样您的解析器就会因为XSS漏洞而将其标记为恶意。让我们说，您的解析器还用恶意代码段更新数据库，以供进一步研究。爱丽丝知道这个。随着XSS的利用，Alice在代码段中注入了一些SQL代码，所以当您将代码片段插入数据库时，它将做各种各样的坏事。

如果你真的疑神疑鬼，你可以有一个孤立的服务器，它的唯一责任是检查代码片段。因此，在WCS中，只有低风险服务器才会受到危害，您将有(希望)足够的时间来修复/审计这种情况。

希望这能有所帮助。

你不能白名单或黑名单PHP，它只是不工作。如果您列出了我可以使用的命令列表，或者阻止我使用恶意函数，那么什么才能阻止我编写：

$a = 'mai';

{$a .'l'}('somebody@important.com', 'You suck', 'A dodgy message sent from your server');

您不能使用白名单或黑名单PHP.

作为您的信息，我的站点是使用CodeIgniter支持的

对不起，杰克，如果你认为这与这个问题有一点关系，那么你离理解这个问题的任何有效答案还有很长的路要走--更别说能够分辨出无效的答案了。

您创建的任何沙箱将防止有人攻击您的机器或您的客户将是如此的限制性，您的客户将无法做更多的‘打印’。

您需要在定制的chroot监狱上运行suhosin的CLI版本--并且为每个脚本维护单独的环境是完全不切实际的。

结果表明，C.