Jak upravovat system pres php

Jako ubastlit si vlastní? Ano, PHP funkce typu exec() nebo system() spouštějící skripty přes sudo. Ale pokud k tomu bude mít přístup i někdo další, dej si velký pozor na escapování.

24.8.2010 17:39 thomixcz
Rozbalit Rozbalit vše Re: Jak upravovat system pres php

Jde o to že to bude sdílet více lidí. Jak si teda dát pozor na to escapování? Je mě jasné že pokud budu mít povolené exec a systém že to bude moci použít kdokoli další.

24.8.2010 17:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak upravovat system pres php

Jo, v PHP jsou funkce jako escapeshellcmd(), které znemožní triky, že když voláš program

system('/bin/foo "'.$_GET["parametr"].'"');

ti někdo do parametru napíše "; rm -fr /#.

Dále v bashových skriptech důsledně dávat proměnné s uživatelským vstupem do uvozovek

echo "$AHOJ"

24.8.2010 18:05 Zdenek
Rozbalit Rozbalit vše Re: Jak upravovat system pres php

Tak, tak. To je cesta do pekla. Reseni je ukladat data z konfiguratoru do backendu a z nej to vycitat samostatnym programem, ktery znovu zkontroluje vstupy a pak teprve provede akci. Backendem muze byt databaze nebo muze konfigurator primo komunikovat treba pres socket s vlastnim vykonnym programem a v ramci tohoto protokolu muzete resit i autorizaci.

Dotaz: Jak upravovat system pres php

Odpovědi