Vilka php kommandon kan vara "farliga"

Håller på med en community där folk kommer kunna
göra en egen sida med html/php.

Sidan kommer att köras på serven så det gäller ju att sätta
lite regler osv. Censurera bort php kommandon osv.
kommer alltså köra ett antal:

$text = str_replace('kommando', '', $text);

Så nu undrar jag vilka kommandon som jag ska räkna som
en "säkerhetsrisk". De jag kommit på hittills är:

"mysql_" - använder mysql på serven och vill inte riskera hacking försök.

"include" - vill undvika inkluderingar av sidor från communityn osv.

"fopen" - vill ju inte ha folk som ändrar på webbplatsen

Hoppas ni fattar vad jag menar.

hm, låter ju helt klart bättre. Har dock aldrig sett att man kan ändra rättigheter
innom php? Hur funkar det? har ni någon bra länk?

och btw. allt som användarna skriver in på sin sida sparas ju i en .php fil på min
server. Hur skulle de kunna gömma något? eftersom om man tar:

$text = str_replace('kommando', '', $text);

på allt innehåll från en <textarea> så tar den ju bort allt som innehåller det ordet?

tex:

användaren skriver in:

$hej = include ('sida.php');

detta skickas sen med post från textarean

och jag kör detta innan det skrivs till filen:

$text = str_replace('include', '', $_POST[anv_sida]);

$f = fopen('derassida.php',"r+");
	fwrite($f,"$text");
fclose($f);

Detta skulle väl ge:

$hej =  ('sida.php');

Det sättet ni pratar kanske är bättre och säkrare, då tar jag gärna emot länkar och kanske lite info om varför detta inte funkar.

okej, verkar som detta kommer kräva mer jobb än jag trodde

totoo: det kommer inte vara som på lunar att deras sidor syns innom
communityn. För att kolla på användarens egen "hemsida" så måste man
surfa direkt till deras .php fil.

ex: http://serverip/sidan/users/username/username.php

så om de gör en while(1) så är det deras förlust
(tror jag!) 8-)

men det sättet jag hade tänkt verkar inte så smart längre..
får väl leta vidare efter en lösning.

Edit: Hur gör man lättast ett sånnt system som t.ex. Lunar har?
alltså egna taggar, och inga andra taggar fungerar.

okej en ny ide nu då..

Om jag vill deativera php i en .php fil kan jag göra något liknande detta:

(dom skriver sin sida i ett textarea som sagt)

<?
$text = $_POST[anv_sida];
disable();

function disable() {
 $text = str_replace('<?', '', $text);
 $text = str_replace('?>', '', $text);
 checked();
}

function checked() {
If (preg_match("/<?/i", "$text") || preg_match("/?>/i", "$text")) {
 disable();
}
else {
 site_ok();
}
}

function site_ok() {
 // Skriver till deras .php fil
}
?>

Nu är inte detta någon optimal kod, men ni fattar vad jag menar?
om detta skulle funka så kom gärna med förbättringar på koden.

sen kan man ju göra egna funktioner som användaren kan använda sig av med
hjälp av []-taggar. Och i site_ok() erätter man dem med sina funktioner?

ex: [anv_ip] skulle ersättas med <?php echo ("$_SERVER['REMOTE_ADDR']");?> osv.