我希望能够使用 $_GET 变量通过命令行执行 PHP。我知道我可以使用exec 做到这一点,但我想了解更多的安全风险以及我应该注意什么。我要传递的参数是从 MySQL 返回的 MySQL auto_incremented ID,所以我不关心用户输入。但是仅仅允许这种情况发生,在安全方面应该考虑哪些事情?
脚本将接受订单 ID 并向客户发送电子邮件发票。这使我可以从站点的多个部分执行此功能,仅在 1 个位置维护代码。
【问题讨论】:
标签: php command-line
我认为您真的不需要从命令行执行此操作。创建一个 PHP 函数并将其包含在您的多个部分中:它会更快。举例:
function sendInvoice($orderId) {
// do something
}
然后调用它:
include_once('send_invoice.inc.php');
sendInvoice(42);
这仍然允许代码重用和维护代码的单一位置。
【讨论】:
为什么不能使用 argv/argc?
$id = isset($argv[1]) ? (int)$argv[1] : (int)$_REQUEST['id'];
【讨论】:
对于命令行脚本$argv 是答案。但是您确实也可以注入$_GET 变量。只需相应地预先定义 QUERY_STRING 环境变量:
putenv("QUERY_STRING=id=$id");
exec("php script.php");
关于安全性,如果 cmdline php 脚本启动管理操作,它们在共享托管服务器上可能会更加令人担忧。但是您对此无能为力。将 cmdline 脚本严格保留在 document_root 之外,并尽可能应用文件或目录权限。
【讨论】: