Emulazione della CLI di PHP in un browser

Question

Sto considerando l'idea di un IDE PHP basato su browser e sono curioso della possibilità di emulare la riga di comando tramite il browser, ma non mi è abbastanza familiare con lo sviluppo di strumenti per la CLI per sapere se è qualcosa che potrebbe essere fatto facilmente o affatto. Mi piacerebbe fare ulteriori indagini, ma finora non sono stato in grado di trovare molte risorse su di esso.

Da un alto livello, il mio primo istinto è quello di impostare un input di testo che possa inviare comandi a uno script PHP tramite AJAX e restituire qualsiasi output sulla pagina. Non sono abbastanza familiare con la CLI per sapere come interfacciarlo con esso in quel contesto.

Non ho bisogno di codice reale, anche se sarebbe utile, ma sto cercando più di quali funzioni, classi o API dovrei investigare ulteriormente. Idealmente, preferirei qualcosa di elaborato in PHP (supponiamo PHP 5.3) e non una libreria di terze parti. Come affronteresti questo? Ci sono risorse o progetti che dovrei sapere?

Modifica: Il caso di utilizzo per questo sarebbe un localhost o un server di sviluppo, non un sito pubblico.

Answer 1

chiamare questa funzione attraverso una RPC o un POST diretta da JavaScript, che fa le cose in questo ordine:

• scrivere il codice PHP in un file (con un nome casuale) in una cartella (con un caso nome), dove si siederà da solo, eseguirà e quindi verrà eliminato alla fine dell'esecuzione.
• L'attuale processo PHP non esegue il codice in quel file. Invece deve avere permessi exec (safe_mode off). exec('php -c /path/to/security_tight/php.ini') (vedi php -?)
• Cattura l'output e invialo di nuovo al browser. Sei protetto da eventuali errori strani. Invece di exec I consiglia di popen in modo che tu possa terminare il processo e controllare manualmente il timeout di attesa che finisca (nel caso in cui tu uccida quel processo, puoi facilmente inviare un errore al browser);

È necessario lassista/normali garanzie (lo stesso come l'intero back-end IDE) per il processo di PHP normale che corre quando viene chiamato attraverso il browser.

È necessaria una sicurezza rigorosa e paranoica per il processo php.ini e php che esegue lo script temporaneo (andare avanti e persino separarlo su un'altra macchina che non ha accesso a rete/Internet e il suo stato è stato ripristinato ogni ora in fabbrica per essere sicuro).

Non utilizzare eval(), non è adatto per questo scenario. Un utente malintenzionato può saltare nell'applicazione e utilizzare lo stato delle autorizzazioni e delle variabili correnti contro di te.

Answer 2

La versione di base sarebbe

1. vi script emette un modulo con un ingresso di linea
2. i punti d'azione modulo per lo script
3. Lo script prende l'input sulla forma e lo passa a eval
4. passare qualsiasi output eval al browser
5. uscita nuovamente il modulo

Il problema è che le funzioni e le variabili definite vengono perse tra ogni richiesta.

Potrebbe essere necessario aggiungere ogni riga inserita nella sessione. Diciamo

$inputline = $_GET['line']; 
$_SESSION['script'] .= $inputline . PHP_EOL; 
eval($_SESSION['script']; 

da questo, in ogni sessione una viene eseguito lo script completo di PHP (e, naturalmente, si otterrà la piena potenza).

Un'altra opzione sarebbe quella di creare una sorta di demone (in pratica un esempio di una chiamata php -a) che viene eseguito sul server in background e riceve l'input dal browser e passa l'uscita.

È possibile connettere questo demone a due dispositivi FIFO (uno per l'ingresso e uno per l'uscita) e comunicare tramite semplice fopen.

Per ogni utente che utilizza lo script, è necessario generare un nuovo processo daemon.

Inutile dire che è importante proteggere il copione dagli abusi.

Answer 3

Recentemente ho letto di un interprete PHP scritto in Javascript php.js, quindi è possibile scrivere ed eseguire codice PHP utilizzando solo il browser. Non sono sicuro se questo è ciò di cui hai bisogno alla fine, ma sembra interessante.

Answer 4

Abbiamo testato alcuni prodotti presso la mia università per l'accesso ssh ai nostri server di laboratorio e ho utilizzato alcuni degli Web-SSH-Tools: in pratica fanno esattamente ciò che volete. Il progetto Shell-In-A-Box -Project può essere associato a qualsiasi interprete che ti piace e può essere utilizzato con un interprete php interattivo, se lo desideri (nella pagina dimostrativa, hanno usato un interprete di base). Il progetto può servire come base per un vero IDE PHP. Questi hanno il vantaggio di essere in grado di interagire con qualsiasi editor basato su console (ad es. Vi, emacs o nano), oltre ad essere in grado di fornire comandi amministrativi (ad esempio creare cartelle, modificare proprietà o ACL o riavviare un servizio).

Mozilla ha anche un IDE Web completo denominato Bespin, che è anche highly extensible and configurable.

Come hai affermato, che la pagina non è destinata al pubblico, devi ovviamente proteggere la pagina con Autenticazione e SSL per combattere session hijacking.