Lua->call("loadstring",$usercode);

Да, щас пытаюсь.
Проблема пока в том, что в loadstring не получается передать кастомный _ENV

Вот, разобрался, всем спасибо 😌 Никаких инжектов вроде

$lua = new Lua();

$lua->eval(/** @lang Lua */ <<<LUA
    function sandbox(code)
        local scope = loadstring(code)
    
        local userEnv = {
            loadstring = loadstring,
            print = print,
            pairs = pairs,
        }
        userEnv._G = userEnv
    
        setfenv(scope, userEnv) -- для >= 5.2 нужен полифилл
        return scope()
    end
LUA);

$userCode = /** @lang Lua */ <<<LUA
    for k in pairs(_ENV) do
        print(k, "\\n")
    end
LUA;

echo $lua->call('sandbox', [$userCode]);

Не от инжектов, а от многострочных строк. Редко когда люди используют вложенность этой фигни 4 и выше.

И вот тут инжектнуть можно только если ты знаешь как оно устроено.

Так а что этот оператор делает в итоге?
[==== ====]

обычно пентестеры автоматизируют брут подобных вариантов, поэтому система уже потенциально уязвима, вопрос времени и интереса

А, спасиб, тогда мне это не грозит

Кстати тут код внутри loadstring не реагирует на _ENV, поэтому тут нужен setfenv

А, возможно. Ну тут указание энвайрнмента для отдельной функции.

Функция/скоп, как раз и есть пользовательский код. Ему без разницы, что выше другой _ENV прописан, он берёт глобальный

Я вот понял.
Но вообще странно.

11.0000000003

пшш

тут есть кто-то:
а) живой
б) кто сталкивался с многопоточностью в Lua (и многопоточностью как таковой)
?

Оригинально

ещё можно живых людей с опытом разработки C extensions для луи.

б) ну есть

какое решение используешь?

Ну, хочешь многопоточку в Луа – запускай несколько луастейтов :)