PHPのescapeshellcmdの危険性 - 徳丸浩の日記

暮らしカテゴリーの変更を依頼記事元:

blog.tokumaru.org

54 usersがブックマークコメント

コメント

9

記事へのコメント9件

注目コメント
新着コメント

ymkjp “escapeshellcmdはお蔵入りするしかないと思います。幸い、escapeshellargの方はまともな仕様と思われますので、escapeshellargで代替してください。”

2014/03/06 リンク

hiro_y 「escapeshellcmdはお蔵入りするしかないと思います。幸い、escapeshellargの方はまともな仕様と思われますので、escapeshellargで代替してください。」

php
security

2011/01/09 リンク

ya--mada まぁそんなもんだわなぁ的な

2011/01/05 リンク

nakag0711 このドロナワ式設計センス、10年くらい前なら通用しただろうけど……

2011/01/05 リンク

fukken このことから得る教訓は「PHPはやっぱり糞」ではなく「何が危険かを判断すること自体が危険」であり「サニタイズ脳は脆弱、ホワイトリストこそ最強」だと思う

security
php

2011/01/04 リンク

Akaza escapeshellcmd()の仕様が孕むセキュリティ上の問題について。対になっているクォーテーションがエスケープ対象から除外される。

security
php

2011/01/04 リンク

juner そんな関数があるのか……。QT: #PHP のescapeshellcmdの危険性

2011/01/02 リンク

rryu /bin/shの実体が環境依存である以上エスケープは完全とは言えないし、シェル経由で実行する意味が無いことがほとんどなので引数リストを取るタイプの実行方法を使うべきだが、PHPではpctrl_exec()しかないのがつらいところ

2011/01/02 リンク

ockeghem 日記書いた

2011/01/01 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

PHPのescapeshellcmdの危険性 - 徳丸浩の日記

補足この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブック... 補足この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2）。備忘のため転載いたしますが、この記事は2011年1月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。補足終わり本を書いています。初稿を一通り書き上げ、第2稿を作成中です。その過程で見つけたことを報告します。 PHPのescapeshellcmdはパラメータをクォートしないので呼び出し側でクォートする必要がありますが、escapeshellcmdの仕様がまずいために、呼び出し側でクォートしても突破できることが分かりました。 escapeshellcmdの仕様 PHPにはシェルのパラメータをエスケープする関数が2つあります。escapeshellargとescapeshellcmdです。escapeshellargは、エ

ブックマークしたユーザー

bayan2024/01/25
masudaK2017/08/04
wata882015/02/18
mieki2562014/07/21
joan92014/04/25
ymkjp2014/03/06
checkpoint2013/10/19
wakuworks2012/02/14
rakusai2011/09/11
initialize2011/07/12
kitokitoki2011/07/12
kaitau2011/06/14
pochi-p2011/01/31
potato7772011/01/17
justoneplanet2011/01/11
kogawam2011/01/09
hiro_y2011/01/09
smtp2011/01/08

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx