OSコマンドのエスケープ – シェルの仕様とコマンドの実装

(Last Updated On: )OSコマンドのエスケープの続きです。OSコマンドインジェクションを防ぐための、OSコマンドのエスケープはSQLのエスケープに比べるとかなり難しいです。 難しくなる理由は多くの不定となる条件に依存する事にあります。 OSコマンドを実行するシェルはシステムによって異なる シェルはプログラミング言語＋複雑なエスケープ仕様を持っている（コマンド以後はクオートなしでも文字リテラルのパラメーター＋各種展開処理） WebアプリはCGIインターフェースで動作するため環境変数にインジェクションできる コマンドパラメーターの取り扱いはコマンド次第である 実行されるコマンドの実装により、間接インジェクションが可能になる SQLの場合、出力先のシステムは一定です。PostgreSQL用にエスケープした文字列をMySQLで実行したり、MySQL用にエスケープした文字列をPost

[labunix]

sarashi

[yohgaki]

OSコマンドのエスケープは本当に複雑です。本気でやってもシェル実装が変わったりすると台無しになる可能性もあります。シェルエスケープは諦めて、引数のクオート＋で対応する方が安全だと思います。

[oppara]

OSコマンドのエスケープ – シェルの仕様とコマンドの実装 | yohgaki's blog