0
如果我从0123脚本shell_exec('mysqldump DATABASE_NAME'),是否有任何危险?从php脚本mysqldump安全
有没有办法让这个在Windows中工作?
我将使用数据库备份的mysqldump从网页
而且应该运行此当我做set_time_limit(0)?
A
回答
1
是的,存在危险:如果数据库名称来自不可信源,黑客可以尝试在数据库名称中注入shell命令。例如:使用
$dbname = 'test; cat /etc/shadow';
力量从系统(取决于系统)获得的用户名和加密的密码..
为了避免这种情况,你应该使用escapeshellarg()引用数据库名称(和可能其他参数):
shell_exec('mysqldump ' . escapeshellarg($database_name));
set_time_limit()如果您关注我的提示是不需要here
不用说,你必须使用登录来保护页面。
相关问题
- 1. 从php脚本mysqldump的内存要求
- 2. 安全PHP登录脚本
- 3. 安全的PHP文件上传脚本
- 4. 连接安全的PHP上传脚本
- 5. 如何创建安全脚本PHP + jquery
- 6. 这个PHP脚本是否安全?
- 7. 安全的PHP电子邮件脚本
- 8. 建立登录安全的PHP脚本
- 9. 安全的PHP脚本执行
- 10. Java - “安全”脚本
- 11. 安全从PHP
- 12. 无法从PHP脚本(大数据)执行mysqldump
- 13. 安全ajax脚本(JavaScript请求PHP脚本)
- 14. 从外部访问安全脚本?
- 15. 从Greasemonkey脚本访问安全cookie?
- 16. 从NPM脚本安装全球分型
- 17. mysqldump从内部php
- 18. 从PHP运行mysqldump
- 19. MySQL是从php脚本“线程安全”吗?
- 20. 带mysqldump的shell脚本
- 21. php安装脚本
- 22. PHP安装脚本
- 23. PayPal IPN - 使脚本安全
- 24. 这个脚本安全吗?
- 25. Pymongo脚本线程安全
- 26. IE脚本安全设置
- 27. 脚本安全权限
- 28. C#脚本和安全
- 29. 安全登录脚本
- 30. 用mysqldump由cron和密码安全
危险?从何而来? – 2013-12-18 17:56:35
如果它可以用来以任何方式访问服务器。我需要转义sql注入吗? –
真的没什么意义 – 2013-12-18 18:06:31