現在Google Blocklyを使ったサイトを作っています。
このBlocklyで生成したPHPコードをeval
関数で実行したいのですが、脆弱性になってしまいそうで怖いです。
eval
関数の権限を調べてみましたが、それらしい情報が出てきませんでした。
自分のローカル環境(MAMP)で以下のコードを試してみました。
php
1<?php 2 3eval("touch('eval.txt');");
やはり、eval.txt
ファイルが作成されてしまいました。これも脆弱性です。
他にもSQL
やファイルの削除などの脆弱性もあります。
このような脆弱性を排除するにはどうすればいいでしょうか?
回答2件
あなたの回答
tips
プレビュー