av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術(shù)文章
文章詳情頁

PHP安全-命令注入

瀏覽:103日期:2022-09-11 18:44:08
命令注入

使用系統(tǒng)命令是一項危險的操作,尤其在你試圖使用遠程數(shù)據(jù)來構(gòu)造要執(zhí)行的命令時更是如此。如果使用了被污染數(shù)據(jù),命令注入漏洞就產(chǎn)生了。

Exec()是用于執(zhí)行shell命令的函數(shù)。它返回執(zhí)行并返回命令輸出的最后一行,但你可以指定一個數(shù)組作為第二個參數(shù),這樣輸出的每一行都會作為一個元素存入數(shù)組。使用方式如下:

<?php

$last = exec(’ls’, $output, $return);

print_r($output);

echo 'Return [$return]';

?>

假設(shè)ls命令在shell中手工運行時會產(chǎn)生如下輸出:

$ ls

total 0

-rw-rw-r-- 1 chris chris 0 May 21 12:34 php-security

-rw-rw-r-- 1 chris chris 0 May 21 12:34 chris-shiflett

當(dāng)通過上例的方法在exec()中運行時,輸出結(jié)果如下:

Array

(

[0] => total 0

[1] => -rw-rw-r-- 1 chris chris 0 May 21 12:34 php-security

[2] => -rw-rw-r-- 1 chris chris 0 May 21 12:34 chris-shiflett

)

Return [0]

這種運行shell命令的方法方便而有用,但這種方便為你帶來了重大的風(fēng)險。如果使用了被污染數(shù)據(jù)構(gòu)造命令串的話,攻擊者就能執(zhí)行任意的命令。

我建議你有可能的話,要避免使用shell命令,如果實在要用的話,就要確保對構(gòu)造命令串的數(shù)據(jù)進行過濾,同時必須要對輸出進行轉(zhuǎn)義:

<?php

$clean = array();

$shell = array();

/* Filter Input ($command, $argument) */

$shell[’command’] = escapeshellcmd($clean[’command’]);

$shell[’argument’] = escapeshellarg($clean[’argument’]);

$last = exec('{$shell[’command’]} {$shell[’argument’]}', $output, $return);

?>

盡管有多種方法可以執(zhí)行shell命令,但必須要堅持一點,在構(gòu)造被運行的字符串時只允許使用已過濾和轉(zhuǎn)義數(shù)據(jù)。其他需要注意的同類函數(shù)有passthru( ), popen( ), shell_exec( ),以及system( )。我再次重申,如果有可能的話,建議避免所有shell命令的使用。

標(biāo)簽: PHP
相關(guān)文章:
主站蜘蛛池模板: 国产精品久久久久一区二区三区 | av大片在线| 超碰97免费在线 | 久久久婷| 黄色欧美视频 | 日韩欧美在线观看 | 伦理午夜电影免费观看 | 精品国产一级 | 91大神在线看 | 日日天天| 久久久久成人精品免费播放动漫 | 成人av播放 | 91免费在线 | 欧美日韩综合 | 北条麻妃一区二区三区在线视频 | 国产在线视频一区二区董小宛性色 | 999热在线视频 | av一级久久 | 国产美女视频黄a视频免费 国产精品福利视频 | 精品视频在线免费观看 | 一级在线观看 | 欧美黄色一级毛片 | 亚洲精品1区 | 美女爽到呻吟久久久久 | 国产美女精品 | 欧美午夜一区 | 成人福利视频 | 色频 | 日韩精品一区二区三区视频播放 | 免费骚视频 | 中文字幕一区在线观看视频 | 日韩精品在线观看网站 | 在线小视频 | 美美女高清毛片视频免费观看 | 1000部精品久久久久久久久 | 91久久国产精品 | 久久综合久色欧美综合狠狠 | 一二三四在线视频观看社区 | 99久久精品国产一区二区三区 | 极品一区| 国产日产欧产精品精品推荐蛮挑 |