目前,我正在开发一个项目中的函数,该函数要求我加载存储在在线数据库中的代码。代码应该是适度可信的,但不是完全可信的。
我们目前在一个单独的非显而易见的表中使用该字段的md5总和,以确保我们正在执行的代码没有被更改,但我们也希望使用pysandbox对代码进行沙箱化(也接受更好的建议)。问题来自于我们必须使用django模型从数据库中获取信息,因为当我们尝试触摸模型时,pysandbox总是排除。
安全执行人员:
for hash in HashedChecksum.objects.all():
if code_md5hash == hash.data:
sandbox = Sandbox(SandboxConfig('stdout'))
config.allowModule(contacts.models, Suppliers)
namespace = {'query_dict': query_dict}
sandbox.execute(code, locals=namespace)
print namespace
else:
assert False
要执行的代码:
print "code in sandbox"
try:
import contacts.models
print "hey"
print contacts.models.Supplier.objects.all() #line that excepts
except:
print "Excepted"
print "Ended Execution"
异常输出示例:
try:
import jmsdirectory.contacts.models
print jmsdirectory.contacts.models.Supplier.objects.all()
except Exception as e:
print e
异常输出:
5.5
SafeModule 'jmsdirectory' has no attribute 'contacts'
5.6
{'e': AttributeError("SafeModule 'jmsdirectory' has no attribute 'contacts'",), 'company': u'D5202F00-A8C7-11E1-B68A-00219B15530E', 'jmsdirectory': <SafeModule 'jmsdirectory' from 'C:\\Joinerysoft\\Development\\joinerysoft-directory\\jmsdirectory\\..\\jmsdirectory\\__init__.pyc'>, 'contact': u'D53D7B00-A8C7-11E1-A34B-00219B15530E', 'address': u'D53368E1-A8C7-11E1-AF74-00219B15530E', 'type': u'stays'}
run_code: 6
[08/Jun/2012 15:53:01] "POST /transfer/server/ HTTP/1.0" 200 129