我无法确定我是否在这里过于偏执,但如果我从命令行运行 PHP 脚本并且该脚本回显了用户定义的内容,我是否需要转义它?
例如,这会不会有潜在的危险,或者文本是否会直接以纯文本的形式回显?
$test = 'shutdown -h now';
echo $test;
如果我确实需要转义,是不是我想要的 escapeshellarg() 函数?
【问题讨论】:
exec() 或shell_exec(),您应该这样做。
echoing out user defined content,与exec() 或类似的无关。
shell 解释来自标准输入的命令,但您正在写入标准输出。所以一切都很好
但是,为了防止您不小心将它们复制粘贴到终端中,逃避它们绝不是一个坏主意
【讨论】:
我不完全同意其他答案。
你写到标准输出是对的,所以输入不会被解释为命令,但是一些特殊的控制序列可以调用一些与shell相关的行为。例如,请参阅here。
这些不能调用其他程序或命令,但它们会惹恼用户(他必须输入 reset 才能重置 shell)。
【讨论】:
exec('reset'); 听起来不错!如果您正在输出随机数据(除了手动转义它们),我目前看不到其他方法
reset 不会重置整个终端吗?然后将清除输出。
应该没有危险。用户不能以这种方式调用任何命令。当然,如果您没有使用 exec() 或两者之间的类似功能。请注意,从命令行向 phpcli 传递任何参数都是危险的。因为这个参数可能包含“`”,所以在shell中执行命令得到结果。
【讨论】: