4
我有一个脚本调用bash脚本来做一些处理,但是脚本使用用户输入的数据调用bash脚本。PHP文件注入?
我想知道是否有办法确保这个人(这是一个文件上传)不会像;cd /;rm -rf *追加到文件的末尾。或者其他任何类似的东西。普通的MYSQL注入方法会起作用吗?有更好的选择吗?
Q
PHP文件注入?
A
回答
5
能够注入shell命令将是... shell命令注入,既不是文件也不是SQL注入。为了确保反对它,使用escapeshellarg:
exec('bash bash-script ' . escapeshellarg($userInput));
1
你检查escapeshellcmd()将和escapeshellarg()还是我错过了点?
0
保护这个过程是一个双向过程:
- 确保输入满足某些标准(特别是在最大的类型)
- 确保输入不能泄漏和改变过程本身
假设我将一个数字传递给程序...
$num = $_GET['num']; // get the input
$num = (int)$_GET['num']; // ensure it is an integer
$num = max($num, 0); // ensure it is at least 0
$num = min($num, 800); // ensure it is at most 800
$num = escapeshellarg($num); // this is overkill at this point, but you never know
exec('command '.$num);
A s以上建议,你也可以有自己的小语言要做到这一点,但...
- 它可能仍然是脆弱的
- 它可能是矫枉过正一个简单的任务
- 它只是一个高级版本过滤系统
最后的,还有另一种选择。有些函数接受命令和参数作为单独的参数,例如popen()(您可以通过管道推送命令参数)。但这取决于实施。
相关问题
- 1. 查找空白注入PHP文件
- 2. HTML - 从外部PHP文件后注入
- 3. base64_decode注入代码在PHP文件
- 4. PhpStorm将PHP语言注入JavaScript文件
- 5. 注册php文件。
- 6. php,include,在基文件中注入de头文件的代码
- 7. 注入PHP文件的恶意PHP代码
- 8. php sql注入
- 9. PHP - SQL注入
- 10. PHP Mailer - 关注文件?
- 11. 可以在PHP邮件()$中注入头文件来参数?
- 12. EJB3.1属性文件注入
- 13. grunt-injector不注入文件
- 14. 注入dll到exe文件
- 15. 导入注册表文件
- 16. PHP MySQL的注入
- 17. SQL注入MySql php
- 18. PHP和SQL注入
- 19. 防止php注入
- 20. 注入翻译.PHP
- 21. SQL注入的PHP
- 22. php邮件头注入预防
- 23. PHP电子邮件注入防护
- 24. PHP写入文件
- 25. 写入PHP文件?
- 26. php。写入文件
- 27. 写入.php文件?
- 28. PHP输入文件
- 29. 写入文件PHP
- 30. php插入文件
正常的sql注入**不会停止**这。 –
编写您自己的脚本语言,只提供您需要公开的功能。 –
F有什么与MySQL有关呢? – Christian