0
我的PHP網頁在服務器上運行一個命令:在PHP執行命令中使用時存儲的密碼在哪裏?
exec("encrypt -pPassw0rd infile outfile; rm infile");
服務器是Linux。
剛跑一:
grep -R "Passw0rd"/
這就夠了檢查,如果密碼不存儲任何地方?
A
回答
0
這裏的要點是,來自用戶的輸入,不管上下文,都不應該被信任!
爲了對付這些類型的攻擊,PHP提供了兩個函數escapeshellarg()和escapeshellcmd()。
escapeshellarg()函數旨在移除或以其他方式消除從用戶輸入接收的任何可能有害的字符,以用作系統命令的參數(在本例中爲zip命令)。該函數的語法如下:
escapeshellcmd()與其對應部分類似,但它只能轉義對底層操作系統有特殊含義的字符。與escapeshellarg()不同,escapeshellcmd()不會處理包含空格的輸入。
如果用戶輸入將用作系統調用的參數列表的一部分,那麼escapeshellarg()函數始終是更好的選擇。
希望有所幫助。
法比奧 @fcerullo
+0
密碼不是來自系統生成的用戶。 – jack 2013-03-06 19:20:18
相關問題
- 1. 運行時在哪裏存儲密碼?
- 2. 在PHP中使用AES加密時,應該在哪裏存儲密碼密鑰?
- 3. 在哪裏存儲jasypt解密密碼
- 4. 「go run file.go」命令後,可執行文件存儲在哪裏?
- 5. Java的ProcessBuilder在哪裏執行命令?
- 6. osx命令存儲在哪裏?
- 7. 我們在哪裏存儲密鑰/密碼/鹽進行加密?
- 8. 哪裏存儲命令行參數?
- 9. 在哪裏存儲API令牌,用戶/密碼等
- 10. Webmin在哪裏存儲根MySQL密碼?
- 11. Netbeans 7在哪裏存儲FTP密碼
- 12. laravel密碼鹽在哪裏存儲?
- 13. ModX Evolution:SMTP密碼存儲在哪裏?
- 14. 設計存儲密碼在哪裏?
- 15. 我們在哪裏通過使用BCP命令給密碼?
- 16. 使用WebPBEConfigServlet的jasypt web配置 - 密碼存儲在哪裏?
- 17. 在哪裏存儲PHP cookies?
- 18. 在fabric執行命令中使用密碼
- 19. 存儲強名密鑰的密碼在哪裏?
- 20. 使用Polymer + Firebase時,在哪裏存儲密鑰?
- 21. 執行linux命令並將輸出存儲在php數組中
- 22. 我在哪裏可以在AptanaStudio中執行「rails generate scaffold」命令?
- 23. 哪裏可以存儲密碼?
- 24. BizTalk中存儲的適配器密碼在哪裏?
- 25. Firefox在哪裏存儲保存的密碼?
- 26. Firefox在哪裏存儲保存的密碼?
- 27. Phonegap db加密:我應該在哪裏存儲密碼?
- 28. 當您使用HTTP身份驗證時,PHP程序中存儲的用戶名和密碼在哪裏?
- 29. HMAC/Javascript - 在哪裏存儲祕密?
- 30. SSL對稱密鑰存儲在哪裏?
一)IMO它不是使用這些PHP函數是個好主意,我總是阻止他們在PHP配置。 b)爲什麼要把密碼存儲起來? – markus 2013-03-02 18:52:29
在某個日誌文件中? bash的歷史? – jack 2013-03-02 18:56:57