让我们假设我们有一个简单的PHP脚本应该从$_GET数组中获取ssh_host,ssh_username,ssh_port并尝试使用此参数连接到SSH.
$port = escapeshellcmd($_GET['ssh_port']);
$host = escapeshellcmd($_GET['ssh_host']);
$username = escapeshellcmd($_GET['ssh_username']);
$answer = shell_exec("ssh -p " . $port . " " . $user . "@" . $host);
是escapeshellcmd()还是我需要更棘手的东西?
或者也许我应该在这个例子中使用escapeshellarg()?
谢谢.
解决方法:
我会说这就是为escapeshellarg
函数创建的 – 所以,为了转义参数,那就是你应该使用的那个.
基本上:
>要转义一个参数,请使用escapeshellarg
>要逃避整个命令,请使用escapeshellcmd
.
引用各自的文件:
escapeshellcmd():
此函数应用于确保在将此数据传递给exec()或system()函数或反引号运算符之前转义来自用户输入的任何数据.