php命令注入

精神小伙2号

于 2021-09-06 20:12:49 发布

阅读量374

点赞数

分类专栏： php基础文章标签： php

本文链接：https://blog.youkuaiyun.com/weixin_38230961/article/details/120143682

版权

php基础专栏收录该内容

78 篇文章

订阅专栏

1、建立白名单，限制指定输入参数或者命令
2、正则，例如ip、字母数字下滑线、数字
3、密码、文件名特殊符号直接强制过滤
$param = str_replace(array('..','/','\\','|', '&', ';'), array('', '', '', '', '', ''), $param);
4、参数用escapeshellarg包裹，整体命令用escapeshellcmd包裹。不过escapeshellcmd好像用的不多

escapeshellarg作用：给参数加引号，存在的引号转义
escapeshellcmd作用：给全部的命令转义