php命令注入
1、建立白名单,限制指定输入参数或者命令2、正则,例如ip、字母数字下滑线、数字3、密码、文件名特殊符号直接强制过滤$param = str_replace(array('..','/','\\','|', '&', ';'), array('', '', '', '', '', ''), $param);4、参数用escapeshellarg包裹,整体命令用escapeshellcmd包裹。不过escapeshellcmd好像用的不多escapeshellarg作用:给参数加引号,存.