如何用PHP的escapeshellarg安全执行外部shell命令?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1184个文字,预计阅读时间需要5分钟。
直接结论:
escapeshellarg() 到底保护什么
它只对传入的单个字符串做两件事:加单引号包裹 + 把内部所有单引号转义为 \'。结果是让这个字符串在 shell 中被当作「一个不可分割的字面量」处理,无法触发分号、管道、反引号等命令分隔行为。
常见错误现象:
- 用户传
test.txt; rm -rf /,没过滤时会执行两条命令;加了escapeshellarg()后变成'test.txt; rm -rf /',shell 就真把它当文件名了 - 含空格路径如
my file.jpg,不加escapeshellarg()会被拆成两个参数,导致命令报错或行为异常
使用场景:适用于所有需要把用户输入作为「单个参数」传给命令的场合,比如文件名、用户名、ID 字符串。
立即学习“PHP免费学习笔记(深入)”;
注意:escapeshellarg() 不处理命令本身(如 ls、convert),也不防路径穿越(../../etc/passwd),更不解决权限失控问题。
为什么不能只靠 escapeshellarg() 拼接完整命令
因为 shell 解析顺序是「先分词,再执行」,而 escapeshellarg() 只管单个词的边界,不管多个词之间的逻辑关系。
本文共计1184个文字,预计阅读时间需要5分钟。
直接结论:
escapeshellarg() 到底保护什么
它只对传入的单个字符串做两件事:加单引号包裹 + 把内部所有单引号转义为 \'。结果是让这个字符串在 shell 中被当作「一个不可分割的字面量」处理,无法触发分号、管道、反引号等命令分隔行为。
常见错误现象:
- 用户传
test.txt; rm -rf /,没过滤时会执行两条命令;加了escapeshellarg()后变成'test.txt; rm -rf /',shell 就真把它当文件名了 - 含空格路径如
my file.jpg,不加escapeshellarg()会被拆成两个参数,导致命令报错或行为异常
使用场景:适用于所有需要把用户输入作为「单个参数」传给命令的场合,比如文件名、用户名、ID 字符串。
立即学习“PHP免费学习笔记(深入)”;
注意:escapeshellarg() 不处理命令本身(如 ls、convert),也不防路径穿越(../../etc/passwd),更不解决权限失控问题。
为什么不能只靠 escapeshellarg() 拼接完整命令
因为 shell 解析顺序是「先分词,再执行」,而 escapeshellarg() 只管单个词的边界,不管多个词之间的逻辑关系。