exec php 安全,安全地使用PHP exec函数

最新推荐文章于 2023-08-12 17:44:40 发布
最新推荐文章于 2023-08-12 17:44:40 发布
阅读量350 收藏
点赞数
文章标签: exec php 安全

using the exec() function can be a security risk and should be avoided if possible.

这有点概括 – 使用exec()构建安全解决方案是完全可能的.但这确实很难:执行外部程序有很多陷阱,特别是如果你将外部参数传递给它们.

正如你所说,第一步是使用escapeshellarg()来逃避一切,以防止注入其他可能有害的命令.

那么问题是输入错误值的损坏可能会导致被调用的程序.例如,

>对200000 x 200000像素的大视频运行ffmpeg操作可能会导致服务器挂断,因为该调用会尝试分配不可能的内存量.因此,您必须清理用户可以输入的大小值,如果它们太大或不是数字,则退出.

>恶意用户可以告诉ffmpeg使用配置文件并尝试从中创建视频,可能导致配置文件用作输出,因此您需要限制用户可以指定的文件路径范围.

等等等等.

此外,您需要考虑通过仅仅请求数量来杀死服务器的可能性.如果我每秒向PHP脚本发送50个请求,然后又调用复杂的ffmpeg命令,该怎么办?服务器可能很容易在负担下解决,您可能希望防止这种情况发生.

所以:使用exec()时没有固有的安全问题,但是需要仔细查看传递给它的每个传入参数.

weixin_39692172
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php+exec安全问题_安全模式下exec函数安全隐患
weixin_28936835的博客
03-08 1028
author: 80vul-Bteam:http://www.80vul.comdate:2009-05-27updata:2009-6-19—————–updata—————————————昨天php5.2.10出来了,fix了PCH-006里提到的bug:Fixed bug #45997 (safe_mode bypass with exec/system/passthru (windows ...
php使用exec,system等函数调用系统命令的方法(不建议使用,可导致安全问题)
10-27
PHP作为一种服务器端的脚本语言,像编写简单,或者是复杂的动态网页这样的任务,它完全能够胜任。但事情不总是如此,有时为了实现某个功能,必须借助于操作系统的外部程序(或者称之为命令),这样可以做到事半功倍
浅析命令执行漏洞
weixin_45349299的博客
12-01 624
title: 浅析命令执行漏洞tags: 漏洞categories: 学习笔记。
Web安全之命令执行漏洞
最新发布
qq_42751192的博客
08-12 1280
当 Web 应用需要调用一些执行系统命令的函数时,并且用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
exec php 安全,使用PHP安全地使用exec来运行ffmpeg
weixin_42525106的博客
03-12 152
我想从PHP运行ffmpeg用于视频编码.我在考虑使用exec或passthru命令.但是,我被警告说启用这些功能存在安全风险.用我的支持人员的话来说:The directive ‘disable_functions’ is used to disable any functions that allow the execution of system commands. This is for ...
php中的敏感函数
FINYIE的博客
12-12 557
php中的敏感函数
PHP执行系统外部命令函数:exec()、passthru()、system()、shell_exec()
m0_62089210的博客
10-27 971
exec 执行系统外部命令时不会输出结果,而是返回结果的最后一行,如果你想得到结果你可以使用第二个参数,让其输出到指定的数组,此数组一个记录代表输出的一行,即如果输出结果有20行,则这个数组就有20条记录,所以如果你需要反复输出调用不同系统外部命令的结果,你最好在输出每一条系统外部命令结果时清空这个数组,以防混乱。system和exec的区别在于system在执行系统外部命令时,直接将结果输出到浏览器,不需要使用 echo 或 return 来查看结果,如果执行命令成功则返回true,否则返回false。
PHP中如何判断exec函数执行成功?
10-21
在提供的示例代码中,可以看到如何使用`exec`函数进行测试: ```php <?php exec('ls', $log, $status); print_r($log); print_r($status); echo PHP_EOL; ``` 当执行一个正确的命令(如`ls`),`$status`通常会被...
PHPexec函数和shell_exec函数的区别
10-25
主要介绍了PHPexec函数和shell_exec函数的区别,这两个函数是非常危险的函数,一般情况都是被禁用的,当然特殊情况下也会使用,需要的朋友可以参考下
php模拟ping命令(php exec函数使用方法)
12-19
标题中的“php模拟ping命令(php exec函数使用方法)”指的是通过PHP编程语言来模拟操作系统的ping命令,这是在Web开发中有时需要检查网络连通性的一种方式。在这个过程中,主要利用了PHP的内置函数`exec()`,该...
phpphp使用exec总结
热门推荐
WQN的博客
12-25 1万+
exec( )基础介绍 exec()函数用来执行一个外部程序 开启exec()函数exec()函数是被禁用的,要使用这个函数必须先开启。 首先是 要关掉 安全模式 safe_mode = off (若safe_mode=off,下边就不需要看了) 然后在看看 禁用函数列表 disable_functions = proc_open, popen, exec, system, she...
PHP 执行系统外部命令
weixin_33991727的博客
09-13 1222
PHP 执行系统外部命令 system() exec() passthru() 先说区别:system() 输出并返回最后一行shell结果。exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。相同点:都可以获得命令执行的状态码PHP作为一种服...
PHP中执行exec遇到的坑(linux权限的坑)
守护大白菜的博客
07-31 3319
坑一 今天在使用php中的exec()命令,下载搜狗推广数据报表压缩包,解压的时候遇到一个坑,搜狗给了一个链接,在浏览器访问的时候直接下载的是.zip的压缩包,于是使用 //下载压缩包 exec("wget -O /home/www/test/filename.zip 'sougou_url'");//注意url要用单引号包含住 //解压 exec('unzip -o /home/www...
php危险函数总结
我是齐潇啊
03-28 5467
php危险函数笔记总结以及实操结果
使用 exec 函数时需要注意的一些安全问题
weixin_33787529的博客
05-20 1167
众所周知,在 python 中可以使用 exec 函数来执行包含 python 源代码的字符串: >>> code = ''' ...: a = "hello" ...: print(a) ...: ''' >>> exec(code) hello >>> a 'he...
php shell_exec安全,在php中运行shell_exec会导致Web服务器挂起
weixin_36049183的博客
03-19 568
我正在运行下面的代码。它的功能是将文本文件拆分为以'_part'结尾的部分,然后调用带有标志的同一脚本来处理文件 - 将内容上传到Drupal系统。会发生什么是脚本运行并完成工作,所有被调用的脚本也完成了,我可以看到结果。但每次运行后,Web服务器都会停止响应。有什么基本的,我失踪或做错了?if(isset($argv[3])){$isSplit = $argv[3] == 'true' ? tr...
PHP危险函数
m0_60052233的博客
09-05 122
PHP 中有⼀些函数是⽐较危险的,也是进⾏PHP 代码审计的时候需要重点关注的内容。 RCE,Remote Code Execute,远程代码执⾏。 0x01 OS 命令执⾏函数 这些函数会调⽤系统命令,类似于 bash 或者 cmd ,PHP 会⾃动区分平台。 #系统命令函数,调⽤的是服务器命令。 #PHP 解释器会⾃动识别系统平台。 #如果参数可控,就相当于 Shell 。 #在浏览器端输⼊命令,在服务器端执⾏。 #通过Web ⽅式传参调⽤系统命令,⽆法切换⼯作⽬录,⾮持久...
举一个PHPexec函数使用例子
03-12
可以使用exec函数来执行一个外部命令,并返回最后一行输出。例如,以下代码可以在PHP中执行一个Linux命令,并将结果输出到屏幕上: <?php // 执行一个Linux命令 $result = exec('ls -l'); // 输出结果 echo $result; ?> 这个例子中,exec函数被用来执行一个Linux命令“ls -l”,并将结果存储在变量$result中。最后,使用echo语句将结果输出到屏幕上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值