防范方法
1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用 escapeshellarg 函数来处理命令参数
4、使用 safe_mode_exec_dir
指定可执行文件的路径
esacpeshellarg 函数会将任何引起参数或命令结束的字符转义,
“
单引号 '”,
“
替换成 \'”,双引号
“"”,
“
替换成 \"”,
“
分号 ;”
“
替换成 \;”,
用 safe_mode_exec_dir 指定可执行文件的路径,可以把
会使用的命令提前放入此路径内。
safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/
跨站脚本威胁(Cross Site Scripting)
安全威胁
Cross Site Script(XSS),跨站脚本威胁。攻击者利用应用程序的动态展示数据功能,
在 html 页
面里嵌入恶意代码。当用户浏览该页之时,
这些嵌入在 html 中的恶意代码会被
执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。输出函数经常使