CodeIgniter中是否有办法自动阻止OS命令注入?我知道CI的所有其他保护,但找不到任何有关OS Command Injection的资料。
收到评论后编辑:
我们正在开发一个我们正在开发的Web应用程序,它将托管在一个大型内部网络中,在那里他们有严格的安全策略,我们需要遵守这些策略。其中之一是OS命令注入保护。他们担心用户会通过输入字段运行OS命令。这是可能的,我该如何防止这种情况?
答案 0 :(得分:2)
CodeIgniter不运行shell命令,这是防止命令注入的一种非常简单的方法。如果您将 shell命令执行添加到您正在创建的Web应用程序中,则需要自行处理防止命令注入。
答案 1 :(得分:0)
CodeIgniter具有阻止SQL注入但不阻止命令注入的功能。防止网址攻击的方法有三种:
设置运行Web应用程序的有限用户权限。确保他无法编写或执行失控。
在php.ini中的disable_functions中禁用php函数。
安装Suhosin수호신这是一个PHP安全扩展并停止eval()。因为eval()是一个构造而不是函数,所以不能在php.ini中使用disable_functions禁用。
在Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program中检查我的命令注入攻击。它不仅包含shell_exec(),还包含eval()。