escapeshellcmdの危険な実例

テクノロジーカテゴリーの変更を依頼記事元:

blog.tokumaru.org

24 usersがブックマークコメント

コメント

4

記事へのコメント4件

注目コメント
新着コメント

youhey escapeshellcmdよりはescapeshellargを使えということと、そもそもOSコマンドを呼ばないなどのもっと良い方法を検討しましょう、というお話

php
security

2011/01/05 リンク

twainy 「escapeshellcmdの「' および " は、対になっていない場合にのみエスケープされます。」という仕様により、1つのパラメータが2つのパラメータに分かれてしまうことが問題です」

php
security

2011/01/05 リンク

ghostbass スクリプトからOSコマンドを呼び出さなくてはならない仕様はどこかに落とし穴がある

2011/01/04 リンク

ockeghem 日記書いた

2011/01/04 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

escapeshellcmdの危険な実例

補足この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブック... 補足この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2）。備忘のため転載いたしますが、この記事は2011年1月4日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。補足終わり先日の日記PHPのescapeshellcmdの危険性ではPHPのescapeshellcmd関数の危険性について指摘しましたが、脆弱となる実例を挙げていなかったので、「本当に危険なのか」と半信半疑の方もおられると思います。そこで、同関数が危険となる実例を考えたので報告します。 grepを使って、サーバー内を検索するスクリプトを考えます。 <?php header('Content-Type: text/html; charset=UTF-8'); ?> <html> <body><pre> <?php $k

ブックマークしたユーザー

mieki2562014/07/21
wakuworks2012/02/14
n_isam2011/02/13
bigwest2011/01/12
justoneplanet2011/01/11
kogawam2011/01/09
hilde2011/01/09
threeMonths2011/01/08
moromoro2011/01/06
andsoatlast2011/01/06
youhey2011/01/05
d-nkt2011/01/05
caquu2011/01/05
twainy2011/01/05
johqpwuu2011/01/05
ghostbass2011/01/04
shimooka2011/01/04
hajimehoshi2011/01/04

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx