目前,我正在开发一个项目中的一个功能,该功能需要我加载存储在在线数据库中的代码。代码应该适度信任,但不完全信任。
我们目前在一个单独的非显而易见的表中使用该字段的 md5 总和来确保我们正在执行的代码没有被更改,但我们也希望使用 pysandbox 对代码进行沙箱处理(也接受更好的建议)。当我们必须使用 django 模型从数据库中获取信息时,问题就出现了,因为 pysandbox 总是在我们尝试接触模型时除外。
安全执行器:
for hash in HashedChecksum.objects.all():
if code_md5hash == hash.data:
sandbox = Sandbox(SandboxConfig('stdout'))
config.allowModule(contacts.models, Suppliers)
namespace = {'query_dict': query_dict}
sandbox.execute(code, locals=namespace)
print namespace
else:
assert False
要执行的代码:
print "code in sandbox"
try:
import contacts.models
print "hey"
print contacts.models.Supplier.objects.all() #line that excepts
except:
print "Excepted"
print "Ended Execution"
异常输出示例:
try:
import jmsdirectory.contacts.models
print jmsdirectory.contacts.models.Supplier.objects.all()
except Exception as e:
print e
异常输出:
5.5
SafeModule 'jmsdirectory' has no attribute 'contacts'
5.6
{'e': AttributeError("SafeModule 'jmsdirectory' has no attribute 'contacts'",), 'company': u'D5202F00-A8C7-11E1-B68A-00219B15530E', 'jmsdirectory': <SafeModule 'jmsdirectory' from 'C:\\Joinerysoft\\Development\\joinerysoft-directory\\jmsdirectory\\..\\jmsdirectory\\__init__.pyc'>, 'contact': u'D53D7B00-A8C7-11E1-A34B-00219B15530E', 'address': u'D53368E1-A8C7-11E1-AF74-00219B15530E', 'type': u'stays'}
run_code: 6
[08/Jun/2012 15:53:01] "POST /transfer/server/ HTTP/1.0" 200 129