作者归档:admin

PHP安全模式下的exec执行问题

PHP安全模式下的exec执行问题

今天同事遇到一个问题,在执行某个程序的时,将执行的命令写错了,发现程序依然可以执行,可是当把程序在终端运行时又显示此文件不存在。 于是最近一直沉迷于源码的我追踪了整个执行过程,得到如下答案。

以上的问题出现在安全模式开启的情况下。

按照PHP的源码结构,exec函数的实现应该在/ext/standard目录下,在此目录找到exec.c文件,exec函数的实现就在这里。如果不熟悉源码结构,可以考虑使用editplus全局搜索PHP_FUNCTION(exec),当然,你也可以使用其它的工具。这只是一个查找的方式。重点是接下来我们要看的代码。

整个调用顺序如下:

[PHP_FUNCTION(exec) -> php_exec_ex -> php_exec]

/* {{{ php_exec
 * If type==0, only last line of output is returned (exec)
 * If type==1, all lines will be printed and last lined returned (system)
 * If type==2, all lines will be saved to given array (exec with &$array)
 * If type==3, output will be printed binary, no lines will be saved or returned (passthru)
 *
 */
PHPAPI int php_exec(int type, char *cmd, zval *array, zval *return_value TSRMLS_DC)
{
    ... //  省略
    if (PG(safe_mode)) {    //  安全模式
        if ((c = strchr(cmd, ' '))) {
            *c = '\0';
            c++;
        }
        if (strstr(cmd, "..")) {    //  不能在指向程序的路径中包含 .. 成分
            php_error_docref(NULL TSRMLS_CC, E_WARNING, "No '..' components allowed in path");
            goto err;
        }

        b = strrchr(cmd, PHP_DIR_SEPARATOR);    //  #define PHP_DIR_SEPARATOR '/'

         ... //  省略

        spprintf(&d, 0, "%s%s%s%s%s", PG(safe_mode_exec_dir), (b ? "" : "/"), (b ? b : cmd), (c ? " " : ""), (c ? c : ""));
        if (c) {
            *(c - 1) = ' ';
        }
        cmd_p = php_escape_shell_cmd(d);
        efree(d);
        d = cmd_p;
    } else {
        cmd_p = cmd;
    }
    ...//省略
}
/* }}} */

从上面的代码可以看出,PHP在实现exec函数时,安全模式下,会去掉命令中包含的所有路径,只留下需要执行的命令及其参数。 最后将这个命令与PG(safe_mode_exec_dir)连接起来作为需要执行的命令返回 。这也就是我们在安全模式下,对于需要执行的命令,即使路径是错的也可以正常执行的原因。

HTTP协议的过期模型和由过期时间想到的

HTTP为提高性能,减少网络传输的信息量,从而使用了缓存。
HTTP协议缓存的目标是去除许多情况下对于发送请求的的需求和去除许多情况下发送完整请求的需求。
在http协议中使用截止模型和证实模型来实现缓存。
【截止模型】
目的:减少操作的大量网络来回奔波,或者说减少http的请求数。
避免请求的主要机制是服务器提供明确的在将来截止的时间,表示响应可满足后续请求,即可以在不联系服务器而返回更新的响应。
在服务器指定了截止时间,在截止时间之前实体不会改变,此时需要慎重考虑截止时间。
实现方式:服务器可以使用Expires头部,也可以使用Cache-Control头部的max-age指令来指定明确的截止时间。
其中max-age指令的优先级高于Expires
【证实模型】
目的:减少网络带宽的损耗
这里的证实是指在在请求与应答中存在一些缓存的条目,这些条目在请求与应答中传递,判断是否过期,从而判断是否重传内容。
与截止模型相关,这里还有一次请求,只是如果缓存有效,则不会重传内容。
实现方式:Last-Modified实体头部域经常用于证实模型,如果实体在Last-Modified值以来没有修改过,则可以认为此缓存有效。
ETag头部域提供“不透明”的证实。
【由过期时间想到的】
近来看协议,看源码,过期时间或者超时总会频繁出现。
思考,为什么在这种大型的架构中,过期时间这样一个限制是如此频繁的出现。又或者我们在cookie或session中所看到的expire,缓存中的时间限制等等。这些都是我们经常可以遇到的。
如果我们把这些东西赋予生命,那么我们所设置的这些都是他们的生命终止的时候。
为了保证程序或信息流的生命的完整性,我们希望他们在出生后,只能存活这样一段时间,在我们可以控制的范围内自然的消散?
那对于内存的分配和新的垃圾收集机制,PHP中使用了引用计数,如果使用过期时间,在某个特定的时间内有效,又或者我们无法控制用户所定义的变量的生命周期,所以我们无法以过期时间来实现?
前面提到了session,PHP的session存储方案中,以文件存储为例,设置了过期时间。以文件的最后修改时间为准。
一次http请求,如果缓存 在客户端的内容还没有过期,则直接使用客户端的内容,这是http协议的一种过期模型。这是一个纯粹的以过期时间缓存的模型。不存在再次的交互。
在应用中提到过期,也许我们会看到缓存这个东西。缓存,以一种更快的介质或更短的距离取代较慢的介质或较长的传输距离的优化方式。
如果一个生命没有了完结的时候,它永生了,又当如何?守护进程,我们希望他会一直运行,那如何我们需要时时的中断这样的守护进程,如何管理?我们在做设计的时候如何处理?对于一个永不过期的缓存,如果我们需要将其清除掉,如何处理?清除这一个?以相同 的key重新设置?
以上的http协议的过期模型来自 RFC2616
后面是乱想的…
从年前开始,一直在和朋友一起写TIPI系统文章,而blog的更新也就放在一旁了。这里说明一下。

HTTP为提高性能,减少网络传输的信息量,从而使用了缓存。

HTTP协议缓存的目标是去除许多情况下对于发送请求的的需求和去除许多情况下发送完整请求的需求。

在http协议中使用截止模型和证实模型来实现缓存。

【截止模型】

目的:减少操作的大量网络来回奔波,或者说减少http的请求数。

避免请求的主要机制是服务器提供明确的在将来截止的时间,表示响应可满足后续请求,即可以在不联系服务器而返回更新的响应。

在服务器指定了截止时间,在截止时间之前实体不会改变,此时需要慎重考虑截止时间。

实现方式:服务器可以使用Expires头部,也可以使用Cache-Control头部的max-age指令来指定明确的截止时间。

其中max-age指令的优先级高于Expires

【证实模型】

目的:减少网络带宽的损耗

这里的证实是指在在请求与应答中存在一些缓存的条目,这些条目在请求与应答中传递,判断是否过期,从而判断是否重传内容。

与截止模型相关,这里还有一次请求,只是如果缓存有效,则不会重传内容。

实现方式:Last-Modified实体头部域经常用于证实模型,如果实体在Last-Modified值以来没有修改过,则可以认为此缓存有效。

ETag头部域提供“不透明”的证实。

【由过期时间想到的】

近来看协议,看源码,过期时间或者超时总会频繁出现。

思考,为什么在这种大型的架构中,过期时间这样一个限制是如此频繁的出现。又或者我们在cookie或session中所看到的expire,缓存中的时间限制等等。这些都是我们经常可以遇到的。

如果我们把这些东西赋予生命,那么我们所设置的这些都是他们的生命终止的时候。

为了保证程序或信息流的生命的完整性,我们希望他们在出生后,只能存活这样一段时间,在我们可以控制的范围内自然的消散?

那对于内存的分配和新的垃圾收集机制,PHP中使用了引用计数,如果使用过期时间,在某个特定的时间内有效,又或者我们无法控制用户所定义的变量的生命周期,所以我们无法以过期时间来实现?

前面提到了session,PHP的session存储方案中,以文件存储为例,设置了过期时间。以文件的最后修改时间为准。

一次http请求,如果缓存 在客户端的内容还没有过期,则直接使用客户端的内容,这是http协议的一种过期模型。这是一个纯粹的以过期时间缓存的模型。不存在再次的交互。

在应用中提到过期,也许我们会看到缓存这个东西。缓存,以一种更快的介质或更短的距离取代较慢的介质或较长的传输距离的优化方式。

如果一个生命没有了完结的时候,它永生了,又当如何?守护进程,我们希望他会一直运行,那如何我们需要时时的中断这样的守护进程,如何管理?我们在做设计的时候如何处理?对于一个永不过期的缓存,如果我们需要将其清除掉,如何处理?清除这一个?以相同 的key重新设置?

以上的http协议的过期模型来自 RFC2616

后面是乱想的…

从年前开始,一直在和朋友一起写TIPI系统文章…

TIPI0203-PHP脚本的执行

在前面的章节介绍了PHP的生命周期,PHP的SAPI,这些内容都是处于上层的,在这个下面是对于PHP本身的解析和执行。这一小节我们介绍PHP脚本的执行。

目前的编程语言可以分为两大类:

  • 第一类是像C/C++, .NET, Java之类的编译型语言, 它们的共性是: 运行之前必须对源代码进行编译,然后运行编译后的目标文件.
  • 第二类比如:PHP, Javascript, Ruby, Python这些解释型语言, 他们都无需经过编译即可”运行”. 虽然可以理解为直接运行, 但它们并不是真的直接就被能被机器理解, 机器只能理解机器语言,那这些语言是怎么被执行的呢, 一般这些语言都需要一个解释器, 由解释器来执行这些源码, 实际上这些语言还是会经过编译环节, 只不过它们一般会在运行的时候实时进行编译. 为了效率,并不是所有语言在每次执行的时候都会重新编译一遍, 比如PHP的各种opcode缓存扩展(如APC, xcache, eAccelerator等),比如Python会将编译的中间文件保存成pyc/pyo文件,避免每次运行重新进行编译所带来的性能损失.

PHP的脚本的执行也需要一个解释器, 比如命令行下的php程序,或者apache的mod_php模块等等. 前一节提到了PHP的SAPI接口, 下面就以PHP命令行程序为例解释PHP脚本是怎么被执行的. 例如如下的这段PHP脚本:

<?php
$str = "Hello, Tipi!\n";
echo $str;

假设上面的代码保存在名为hello.php的文件中, 用PHP命令行程序执行这个脚本:

$ php --help  # 显示php程序可以接受的参数
$ php ./hello.php

这段代码的输出显然是Hello, Tipi!, 那么在执行脚本的时候PHP/Zend都做了些什么呢? 这些语句是怎么样让php输出这段话的呢? 下面将一步一步的进行介绍.

程序的执行

  1. 如上例中, 传递给php程序需要执行的文件, php程序完成基本的准备工作后启动PHP及Zend引擎, 加载注册的扩展模块.
  2. 初始化完成后读取脚本文件,Zend引擎对脚本文件进行词法分析,语法分析. 然后编译成opcode 执行. 如果安装了apc之类的opcode缓存, 编译环节可能会被跳过而直接从缓存中读取opcode执行.

脚本的编译执行

PHP在读取到脚本文件后首先对代码进行词法分析, PHP的词法分析器是通过lex生成的, 词法规则文件在$PHP_SRC/Zend/zend_language_scanner.l, 这一阶段lex会会将源代码按照词法规则切分一个一个的标记(token). PHP中提供了一个函数token_get_all(), 该函数接收一个字符串参数, 返回一个按照词法规则切分好的数组. 例如将上面的php代码作为参数传递给这个函数:

<?php
$code =<<<PHP_CODE
<?php
$str = "Hello, Tipi\n";
echo $str;
PHP_CODE;

var_dump(token_get_all($code));

运行上面的脚本你将会看到一如下的输出

array (
  0 =>
  array (
    0 => 368,       // 脚本开始标记
    1 => '<?php     // 匹配到的字符串
',
    2 => 1,
  ),
  1 =>
  array (
    0 => 371,
    1 => ' ',
    2 => 2,
  ),
  2 => '=',
  3 =>
  array (
    0 => 371,
    1 => ' ',
    2 => 2,
  ),
  4 =>
  array (
    0 => 315,
    1 => '"Hello, Tipi
"',
    2 => 2,
  ),
  5 => ';',
  6 =>
  array (
    0 => 371,
    1 => '
',
    2 => 3,
  ),
  7 =>
  array (
    0 => 316,
    1 => 'echo',
    2 => 4,
  ),
  8 =>
  array (
    0 => 371,
    1 => ' ',
    2 => 4,
  ),
  9 => ';',

这也是Zend引擎词法分析做的事情,将代码切分为一个个的标记,然后使用语法分析器(PHP使用yacc生成语法分析器, 规则见$PHP_SRC/Zend/zend_language_parser.y), yacc根据规则进行相应的处理, 如果代码找不到匹配的规则,也就是语法错误时Zend引擎会停止,并输出错误信息. 比如缺少括号,或者不符合语法规则的情况都会在这个环节检查. 在匹配到相应的语法规则后,Zend引擎还会进行编译, 将代码编译为opcode, 完成后,Zend引擎会执行这些opcode, 在执行opcode的过程中还有可能会继续重复进行编译-执行, 例如执行eval,include/require等语句, 因为这些语句还会包含或者执行其他文件或者字符串中的脚本.

例如上例中的echo语句会编译为一条ZEND_ECHO指令, 执行过程中,该指令由C函数zend_print_variable(zval* z)执行,将传递进来的字符串打印出来. 为了方便理解, 本例中省去了一些细节,例如opcode指令和处理函数之间的映射关系等. 后面的章节将会详细介绍.

如果想直接查看生成的Opcode,可以使用php的vld扩展查看。扩展下载地址: http://pecl.php.net/package/vld。Win下需要自己编译生成dll文件。

作者:TIPI团队