安全执行 shell 脚本；在执行前转义变量

Question

假设我们有一个简单的 php 脚本，它应该从 $_GET 数组中获取 ssh_host、ssh_username、ssh_port，并尝试使用此参数连接到 SSH。

$port      = escapeshellcmd($_GET['ssh_port']);
$host      = escapeshellcmd($_GET['ssh_host']);
$username  = escapeshellcmd($_GET['ssh_username']);

$answer = shell_exec("ssh -p " . $port . " " . $user . "@" . $host);

escapeshellcmd() 够用还是我需要一些更棘手的东西？ 或者我应该在这个例子中使用escapeshellarg()？

谢谢。

Answer 1

我想说这就是 escapeshellarg 函数的创建目的——所以，为了转义参数，你应该使用它。

基本上：

• 要转义一个参数，请使用escapeshellarg
• 要对整个命令进行转义，请使用escapeshellcmd。

引用他们各自的文件：

escapeshellcmd()：
此函数应用于确保来自用户输入的任何数据在传递给exec() 或system() 函数或反引号运算符之前被转义。

escapeshellarg() ：
此函数应用于将单个参数转义为来自用户输入的 shell 函数。