使用“exec”php命令考虑安全问题

时间:2013-04-23 07:08:58

标签: php exec

我正在使用exec php命令在我的Web服务器中启动一个jar文件。 我是否需要采取任何预防措施来防止任何安全问题?我的意思是,使用exec命令可能会有危险吗?

2 个答案:

答案 0 :(得分:0)

参考This 关于 EXEC 命令

的DO和Dont的链接

答案 1 :(得分:0)

这取决于你如何为函数提供参数。如果您使用的是文字,则代码只容易受到开发人员级别的错误和不良做法的影响。但是,如果要传递变量,则所有这些都取决于参数的来源。我建议在这种情况下始终采用非常安全的方法,在调用exec函数之前使用所有可用的验证工具。从头到尾:

  • 通过利用运行PHP进程的系统用户(通常是具有相当广泛访问权限的Web服务器用户)来检查是否未利用用户对底层操作系统的权限,
  • 可能暂时监控用于exec命令的环境,仅向用户提供所需的文件和可执行文件,
  • 练习安全编程,即使您知道传递参数的值不是由用户或第三方提供,而是来自代码的其他部分;即使情况可能并非如此,将来系统的其他部分也可能会发生变化,从而允许将shell脚本注入底层操作系统。
相关问题
最新问题