>  기사  >  백엔드 개발  >  PHP 보안 명령 삽입

PHP 보안 명령 삽입

黄舟
黄舟원래의
2017-02-21 09:12:511520검색



명령어 삽입

시스템 명령을 사용하는 것은 위험한 작업입니다. 특히 원격 데이터를 사용하여 실행할 명령을 구성하려는 경우 더욱 그렇습니다. 오염된 데이터를 사용하면 명령어 주입 취약점이 발생한다.

Exec()은 쉘 명령을 실행하는 데 사용되는 함수입니다. 실행을 반환하고 명령 출력의 마지막 줄을 반환하지만 각 출력 줄이 배열의 요소로 저장되도록 배열을 두 번째 인수로 지정할 수 있습니다. 사용방법:

아아앙


ls 명령이 셸에서 수동으로 실행될 때 다음 출력을 생성한다고 가정합니다.

  <?php
 
  $last = exec(&#39;ls&#39;, $output, $return);
 
  print_r($output);
  echo "Return [$return]";
 
  ?>


위 예제의 메소드를 통해 exec()에서 실행하면 출력 결과는 다음과 같습니다.

아아아앙


셸 명령을 실행하는 이 방법은 편리하고 유용하지만 이 편리함은 상당한 위험을 초래합니다. 오염된 데이터를 사용하여 명령 문자열을 구성하는 경우 공격자는 임의의 명령을 실행할 수 있습니다.

가능하면 셸 명령을 사용하지 않는 것이 좋습니다. 명령 문자열을 구성하는 데 사용된 데이터를 필터링하고 출력을 이스케이프하세요.

아아아앙


셸 명령을 실행하는 방법에는 여러 가지가 있지만 실행할 문자열을 구성할 때 필터링되고 이스케이프된 데이터만 허용된다는 점을 강조하는 것이 중요합니다. 주의가 필요한 다른 유사한 기능으로는 passthru(), popen( ), shell_exec( ) 및 system( ). 다시 한 번 말씀드리지만, 가능하다면 모든 셸 명령을 사용하지 않는 것이 좋습니다.

위 내용은 PHP 보안 명령 주입 내용이며, 보다 자세한 내용은 PHP 중국어 홈페이지(www.php)를 참고하시기 바랍니다. .cn)!


성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.