Forbid a few other dangerous functions #45
Conversation
OndraM
requested review from
MarketaSebkova,
dudla,
hokypierce,
janicekt,
jirinovak,
kdosiodjinud and
obelixicek
OndraM
changed the title
| posix_mkfifo: null # do not create named pipes in the script | ||
| posix_mknod: null # do not create special files in the script | ||
| proc_nice: null # changes the priority of the current process | ||
| putenv: null # might overwrite existing variables |
There was a problem hiding this comment.
Tady stimhle bych byl opatrny, dost se to pouziva
There was a problem hiding this comment.
Envy bys v aplikaci nemel vytvaret, jen prijimat.
There was a problem hiding this comment.
Máš nějaký příklad?
V pár specifických případech se to asi používá oprávněně (třeba v command-line tools), tam bych si to pak dal do výjimek.
There was a problem hiding this comment.
Jop vetsinou se jedna o command-line, nebo o testy.
treba priklad
$input = new ArgvInput();
if (null !== $_ENV['APP_ENV'] = $input->getParameterOption(['--env', '-e'], null, true)) {
putenv('APP_ENV='.$_ENV['APP_ENV']);
// force loading .env files when --env is defined
$_SERVER['APP_ENV'] = null;
}
There was a problem hiding this comment.
Tohle ale bude v nějakém bootstrap.php nebo index.php, kde už je beztak i require_once (načítá se composer autoloader), takže to stejně bude ve výjimkách, ne?
There was a problem hiding this comment.
Nejenom tam, vyuziva to napr. SF komponenta Dotenv
There was a problem hiding this comment.
@hokypierce To jo, ale ty sám to ze svého kódu mimo nějaký index.php nevoláš, nebo jo? Kdyžtak mi hoď do Slacku link do bitbucket jestli to někde máte, kouknu.
There was a problem hiding this comment.
@OndraM mas pravdu ze to je jen z bootstrapu pri init app
Inspired by @spaze's disallowed-dangerous-calls and disallowed-execution-calls.