我正在使用execphp 命令在我的 Web 服务器中启动一个 jar 文件。我必须采取任何预防措施来防止任何安全问题吗?我的意思是,使用该命令会很危险exec吗?
问问题
974 次
1 回答
0
这取决于您如何为函数提供参数。如果您使用文字,则代码仅容易受到开发人员级别错误和不良做法的影响。但是,如果您要传递一个变量,这一切都取决于参数的来源。我建议在这种情况下始终采用非常安全的方法,在调用 exec 函数之前利用所有可用的验证工具。从我的头顶:
- 通过使用运行 PHP 进程的系统用户(通常是具有相当广泛访问权限的 Web 服务器用户)来检查用户在底层操作系统上的权限是否未被利用,
- 可能,暂时监禁用于 exec 命令的环境,以仅向用户提供所需的文件和可执行文件,
- 即使此时您知道传递的参数的值不是由用户或第三方提供,而是来自代码的其他部分,也要练习安全编程;尽管情况可能并非如此,但将来系统的其他部分可能会发生变化,从而允许将 shell 脚本注入底层操作系统。
于 2013-04-23T07:21:02.250 回答