防范方法

1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用 escapeshellarg 函数来处理命令参数
4、使用 safe_mode_exec_dir

 

指定可执行文件的路径

esacpeshellarg 函数会将任何引起参数或命令结束的字符转义,

“

单引号 '”,

“

替换成 \'”,双引号

“"”,

“

替换成 \"”,

“

分号 ;”

“

替换成 \;”,   



用 safe_mode_exec_dir 指定可执行文件的路径,可以把

会使用的命令提前放入此路径内。

safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/

跨站脚本威胁(Cross Site Scripting)

安全威胁

Cross Site Script(XSS),跨站脚本威胁。攻击者利用应用程序的动态展示数据功能,

 

在 html 页

面里嵌入恶意代码。当用户浏览该页之时,

 

这些嵌入在 html 中的恶意代码会被

执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。输出函数经常使