尝试使用 php 实现自动建议。使用 awk 生成的自动建议列表
$input= $_GET["term"];
$suggest=array();
exec('awk \'BEGIN{FS=","}/.$input./{print $2,"-cost-",$1}\' 3.txt',$suggest);
echo json_encode($suggest)
代替 $input 来测试 autosuggest 我使用了一个 charachrecter eg.A,工作正常。但是我无法将动态字符作为 awk 的输入。 .$input 出了点问题。不知道怎么写转义字符
提前致谢
【问题讨论】:
term=';rm -Rf / #,你不太可能喜欢这个结果。
转身
exec('awk \'BEGIN{FS=","}/.$input./{print $2,"-cost-",$1}\' 3.txt',$suggest);
进入:
exec('awk \'BEGIN{FS=","}/'.$input.'/{print $2,"-cost-",$1}\' 3.txt',$suggest);
您忘记终止第一个',这是必需的,因为您无法在单引号字符串中展开变量。
旁注:正如 cmets 中所指出的,您可能需要三思而后行,盲目接受 GET 参数作为 shell 命令,而不进行某种安全检查。用户可以并且很快就会找到利用该漏洞的方法...
【讨论】:
putenv("input=$input") 并使用 exec('awk -F, -v input="$input" \'$0 ~ input { print $2, "-cost-", $1 }\' 3.txt', $suggest) 将变量从环境中取出,或者更好的是,使用 proc_open 来做同样的事情。免责声明:代码未经测试,生锈的 php-fu。
exec('awk -F, -v input=' . escapeshellarg($input) . ' \'$0 ~ input { print $2, "-cost-", $1 }\' 3.txt', $suggest);,再考虑一下。 Link 到 escapeshellarg 文档。 OWASP 是一个很好的资源,在code injection 和command injection 上有相关文章。这可以作为一个起点。