php 英文引号转义,如何用引号转义php exec()命令

最新推荐文章于 2021-03-23 10:56:06 发布
最新推荐文章于 2021-03-23 10:56:06 发布
阅读量254 收藏
点赞数
文章标签: php 英文引号转义

我在Linux上使用Exiv2命令行工具来编辑图像元数据,如下所示:

exiv2 -M"set Iptc.Application2.Caption String This is my caption....." modify IMG.jpg

我想使用用户提供的标题从PHP执行此操作.如果用户不输入任何特殊字符,这将起作用:

exec('/usr/local/bin/exiv2 -M"set Iptc.Application2.Caption String '.$caption.'" modify IMG.jpg');

我需要允许用户使用特殊字符,例如单引号和双引号.我想使用escapeshellcmd()来防止恶意数据.我如何正确地转义命令和参数,以便其起作用?我尝试了很多选择,但我做对了.

解决方法:

是的,这是一个难题,因为该命令使用的是非标准的shell参数(例如它自己的小元语言). ImageMagick具有相同的问题.

如果仅在双引号引起来的字符串中使用escapeshellarg(),它将变为无用的. escapeshellcmd()会转义所有特殊字符,并且可以安全地用于双引号字符串中.因此,您需要对单引号进行硬编码,以使其正常工作.

exec('/usr/local/bin/exiv2 -M"set Iptc.Application2.Caption String \'' . escapeshellcmd($caption) . '\'" modify IMG.jpg');

escapeshellarg()在单引号字符串中不起作用的原因是:

# for this input:

The smith's "; rm -rf *; echo "went to town

# after escapeshellarg()

'The smith\'s "; rm -rf *; echo "went to town'

# Works fine if left as a top-level argument

/usr/bin/command 'The smith\'s "; rm -rf *; echo "went to town'

# BUT if put in a double-quoted string:

/usr/bin/command "subcommand1 'The smith\'s "; rm -rf *; echo "went to town'"

# it is broken into 3 shell commands:

/usr/bin/command "something and 'The smith\'s ";

rm -rf *;

echo "went to town'"

# bad day...

标签:escaping,exec,php,exiv2

来源: https://codeday.me/bug/20191024/1920472.html

群响-刘思毅
关注
php引号转义
YYZhQ的专栏
06-30 3176
在处理mysql和GET、POST的数据时,常常要对数据的引号进行转义操作。 PHP中有三个设置可以实现自动对’(单引号),”(双引号),\(反斜线)和 NULL 字符转移。 PHP称之为魔术引号,这三项设置分别是 magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。 magic_quotes
php中的echo单引号_php中的单引号、双引号转义字符详解
weixin_33018713的博客
02-02 705
PHP引号及双引号均可以修饰字符串类型的数据,如果修饰的字符串中含有变量(例$name);最大的区别是: 双引号会替换变量的值,而单引号会把它当做字符串输出。例如: ...
php 转义
germmy-神一样的开发
06-02 242
  $array = array('test','测试','test1','test2'); echo "'".implode("','", $array )."'";//以单引号+逗号+单引号 隔开,同时两边也加上一个单引号 //结果: 'test','测试','test1','test2' 这可以用在数据库的where in条件中 如"where name in ('".impl...
php html双引号转义字符,单引号,双引号,javascript,HTML,转义字符 | 学步园
weixin_39602967的博客
03-18 280
最近发现一个问题,是有关引号转义的,于是就整理了一下这方面的知识,以方便以后温故。双引号:·在字串中使用变量这个功能让你无须使用连接符号来粘和大量的简单字符串。PHP允许我们在双引号串中直接包含字串变量,我们可以发现下面的两个字串的处理结果是相同的。·斜杠和SQL语句生成HTML代码或SQL查询语句是编写PHP程序时经常遇到而且是件有趣的事情。为什么这么说呢,因为这涉及到生成另外一种类型的代码,...
php中的单引号、双引号转义字符详解
山鹰的专栏
05-04 1450
PHP引号及双引号均可以修饰字符串类型的数据,如果修饰的字符串中含有变量(例$name);最大的区别是: 双引号会替换变量的值,而单引号会把它当做字符串输出。 例如: ? 1 2 3 4 5 6 7 8 9       $name="string";       echo " 字符串" . '$name';       
PHP 转义使用详解
10-27
PHP中,最常见的是对单引号、双引号以及反斜杠进行转义转义操作可以通过内置函数,例如addslashes和stripslashes来实现。 首先,了解magic_quotes_gpc和magic_quotes_runtime两个配置项是关键。magic_quotes_...
php使用exec shell命令注入的方法讲解
10-26
2. **转义参数**:对于命令参数,使用`escapeshellarg()`函数进行转义,确保每个参数都被正确地引号包裹。 ```php <?php $clean = array(); $shell = array(); // 过滤输入 $shell['command'] = escapeshellcmd($...
php代码审计之命令注入(3)
01-09
`pcntl_exec()` 用于替换当前进程为指定的命令,主要用于多进程编程,不是直接接收用户输入的命令,所以不在本次讨论范围内。 8. **escapeshellarg()** 和 **escapeshellcmd()**: 这两个函数是用于转义命令行...
【基础篇】第07篇:PHP代码审计笔记--命令执行漏洞1
08-03
总之,理解PHP命令执行漏洞并采取适当的安全措施至关重要,因为一旦被攻击者利用,可能导致数据泄露、系统破坏甚至整个网络的瘫痪。开发者应时刻警惕,遵循最佳安全实践,确保代码的健壮性和安全性。
php 对特殊字符转义_php中对特殊字符进行转义的选项 与phpweb的上传漏洞
weixin_40001442的博客
03-09 172
今天在大疯子的博客看到说phpweb的上传漏洞还需要gpc=off才行,不由纳闷了,无论是iis6/iis7/apache/nginx哪一个的解析漏洞,文件名再畸形好像都不会涉及到gpc的吧?来简单科普下php中具备对特殊字符进行转义功能的选项。在php的配置文件中,有个布尔值的设置,就是magic_quotes_gpc。当它的值为on时,php的大部分函数自动的给所有GPC(GET/POST/C...
php中的转义字符(用反斜杠\来输出,和C语言一样)
weixin_30561425的博客
05-14 817
php中的转义字符(用反斜杠\来输出,和C语言一样) 一、总结 1、引号中的变量:双引号会替换变量的值,而单引号会把它当做字符串输出。 2、引号中的转义字符:双引号将用变量的值(test)代替它的名称($var),并用特殊字符表示的值($)代替它的代码(\$)。单引号总是准确地打印你输入的内容,除了转义的单引号(\')和转义的反斜杠(\\)之外,它们将分别被打印为一个单引号和一个...
PHP中自动转义--小结
beyondlpf的专栏
10-17 1384
magic_quotes_gpc 作用范围 服务端 作用时间 请求开始时 影响 会影响通过get|post|cookies获得的数据 magic_quotes_runtime 作用范围 从文件中读取的数据|执行exec()的结果|从sql得到数据 作用时间 每次当脚本访问运行状态中产生的数据 一般用法 if(get_magic_quotes_gpc(
php正则中括号 转义,php正则表达式转义字符的例子
weixin_33940031的博客
03-12 266
php 中,实现转义正则表达式字符的函数是: preg_quote 函数。语法如下:string preg_quote(string str [, string delimiter])str 是用来进行字符转义的正则表达式, delimiter 是其他需要转义字符。在 php 中可以使用 preg_quote 函数转义一些特殊字符。例1:复制代码 代码示例:$str = preg_quote(...
php 反撇号,PHP 中 shell_exec() 中的反撇号操作符的变体 可用作后门
weixin_39720516的博客
03-10 143
发现这个也是巧合,我就直接说了吧
php 中文逗号 转英文,PHP把空格、换行符、中文逗号等替换成英文逗号的正则表达式...
weixin_29015483的博客
03-23 1186
PHP把空格、换行符、中文逗号等替换成英文逗号的正则表达式在开发的过程中,经常会遇到需要给别人提供一个输入框,然后别人输入一些ID,或者关键字的东西,例如wordpress的后台的标签输入框:这个就是只是判断英文状态下的逗号,要是有人不小心输入了中文状态下的逗号怎么办?小数点怎么办?于是我就用正则写了一个表达式,把带有空格换行符之类的替换成逗号。把提交的id带有空格换行符之类的替换成逗号,然后用e...
php中的单引号、双引号转义字符
热门推荐
xiaoxiaoniaoer1的专栏
07-05 7万+
PHP引号及双引号均可以修饰字符串类型的数据,如果修饰的字符串中含有变量(例$name);最大的区别是: 双引号会替换变量的值,而单引号会把它当做字符串输出。 例如:          $name="string";         echo  " 字符串" . '$name';         echo   "字符串" .  "$name";  ?> 结果:
php 调用exec报错,如何解决php exec 报错问题
weixin_28920737的博客
03-17 730
php exec报错的解决办法:首先将文件的用户改成php用户;然后修改“exec()”内容为“exec('7za x /home/www/test/filename.csv.7z -r -o./report/sogou/');”即可。PHP中执行exec遇到的坑(linux权限的坑坑一今天在使用php中的exec()命令,下载搜狗推广数据报表压缩包,解压的时候遇到一个坑,搜狗给了一个链接,在浏览...
Perl语言入门:反引号与系统命令交互
`system`和`exec`函数通常用于执行外部命令,而使用反引号则更像一种简便的捕获命令输出的方式。在Perl中,反引号表达式的行为类似于双引号字符串,这意味着其中的变量会被解释,转义字符也会被处理。举例来说,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值