问题描述

从 html 表单输入区域，我编写了一个 C 源文件（使用 PHP 'file_put_contents'），然后使用 PHP 编译并运行它（）并打印结果。

但在运行它之前，我会检查输入数据中我认为是 C 违禁词的内容，例如“fopen”、“goto”等。（使用 PHP 'strpos'）。

为什么是'fopen'？因为我不希望用户使用此表单打开 PHP 源文件并从中获取合理的数据...

我的问题：是否有可能使用转义序列或黑客使用的任何其他东西，可以使用这些被禁止的词？

实际源代码的摘录： - 编译：

$reponseModele = shell_exec("gcc -o source.exe source.c  2>&1");

• 运行（使用“scanf”的输入数据）

  $reponseTest = shell_exec("gcc -o cource.exe < data.txt 2>&1");

编辑 1

PHP源文件中没有什么秘密（除了数据库密码......但不是'root'一个......）

我考虑到安全性非常低的事实，但是由于它是个人网站，对于教育和学生评估，风险是有限的，除非用户可以从该网站发起大规模攻击......

正如我在评论中所说，我检查了一些 C 关键字（从你的评论中，我添加了'asm'、'extern'、'volatile'），检查了循环。

也许要控制的东西是'malloc'。

仍然要记住的问题是：是否有可能转义字符以便可以执行“fopen”或其他关键字？

更多 PHP 代码将有所帮助

$srcprog 是主要的 C 源代码，我添加了一个计数（我将更改名称...），$contenuTest 是要编译的代码：

$contenuTest = "static int ctz = 0; \n#include <stdlib.h> \n" . "$srcprog";

然后，我添加循环检查（我还将更改 100 限制...）：

$contenuTest = str_replace("{", "{ ctz++; if (ctz>100) {printf(\"BOUCLE !!!\");exit(99);}", $contenuTest);

标签： phpc