Modo per evitare correttamente l'input dell'utente che viene eseguito da shell_exec () in PHP?

Question

Modo per evitare correttamente l'input dell'utente che viene eseguito da shell_exec () in PHP?

#1 da (6 voti)

2

Ho il seguente script:

$user_input = $_POST['user_input'];
// If there is a way, I want to escape it here.
shell_exec("php some_file.php $user_input");

Esiste un modo per uscire correttamente da user_input ?

php unix web-application

posta Tim von Känel 18.08.2018 - 00:48

fonte

1 risposta

Leggi altre domande sui tag php unix web-application

Tipo di malware nei siti per adulti Quali protezioni esistono negli appunti del sistema operativo?

score 6 · Accepted Answer

La funzione escapeshellarg riporta in modo sicuro un valore (incluse le virgolette di escape nel nome, ecc.) in modo che può essere usato come argomento in una stringa di comando passata a una shell.

$user_input = $_POST['user_input'];
shell_exec('php some_file.php '.escapeshellarg($user_input));