av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術文章
文章詳情頁

PHP安全-命令注入

瀏覽:102日期:2022-09-11 18:44:08
命令注入

使用系統命令是一項危險的操作,尤其在你試圖使用遠程數據來構造要執行的命令時更是如此。如果使用了被污染數據,命令注入漏洞就產生了。

Exec()是用于執行shell命令的函數。它返回執行并返回命令輸出的最后一行,但你可以指定一個數組作為第二個參數,這樣輸出的每一行都會作為一個元素存入數組。使用方式如下:

<?php

$last = exec(’ls’, $output, $return);

print_r($output);

echo 'Return [$return]';

?>

假設ls命令在shell中手工運行時會產生如下輸出:

$ ls

total 0

-rw-rw-r-- 1 chris chris 0 May 21 12:34 php-security

-rw-rw-r-- 1 chris chris 0 May 21 12:34 chris-shiflett

當通過上例的方法在exec()中運行時,輸出結果如下:

Array

(

[0] => total 0

[1] => -rw-rw-r-- 1 chris chris 0 May 21 12:34 php-security

[2] => -rw-rw-r-- 1 chris chris 0 May 21 12:34 chris-shiflett

)

Return [0]

這種運行shell命令的方法方便而有用,但這種方便為你帶來了重大的風險。如果使用了被污染數據構造命令串的話,攻擊者就能執行任意的命令。

我建議你有可能的話,要避免使用shell命令,如果實在要用的話,就要確保對構造命令串的數據進行過濾,同時必須要對輸出進行轉義:

<?php

$clean = array();

$shell = array();

/* Filter Input ($command, $argument) */

$shell[’command’] = escapeshellcmd($clean[’command’]);

$shell[’argument’] = escapeshellarg($clean[’argument’]);

$last = exec('{$shell[’command’]} {$shell[’argument’]}', $output, $return);

?>

盡管有多種方法可以執行shell命令,但必須要堅持一點,在構造被運行的字符串時只允許使用已過濾和轉義數據。其他需要注意的同類函數有passthru( ), popen( ), shell_exec( ),以及system( )。我再次重申,如果有可能的話,建議避免所有shell命令的使用。

標簽: PHP
相關文章:
主站蜘蛛池模板: 成年人免费网站 | 一本岛道一二三不卡区 | 亚洲一区二区三区四区五区午夜 | 国产精品久久欧美久久一区 | 正在播放国产精品 | 国产一级一级毛片 | 成人精品国产免费网站 | 免费观看av | 人人九九精 | 欧美在线综合 | 91精品国产91久久久久久密臀 | 亚洲国产高清在线 | 亚洲精品电影网在线观看 | 亚洲人成一区二区三区性色 | 91天堂网 | 99精品久久| 97狠狠干| 亚洲成人免费网址 | 91免费高清视频 | 亚洲精品一区二区三区蜜桃久 | 久久精品国产一区二区三区不卡 | 欧美日韩视频在线播放 | 在线国产一区二区三区 | 网站国产 | 日韩免费视频一区二区 | 91.xxx.高清在线 | www.成人久久 | 国产精品不卡 | 亚洲精品一区二区网址 | 91精品在线播放 | 国产美女精品视频免费观看 | 亚洲天堂二区 | 91网站视频在线观看 | 国产福利在线 | 久优草 | 国产在线资源 | 日韩一二三区视频 | 久久美女网 | 99精品国产一区二区三区 | 欧美成人手机在线 | 视频第一区|