答案:PHP执行外部命令需严防命令注入,核心是避免拼接用户输入。应使用escapeshellarg()和escapeshellcmd()转义参数与命令,优先采用白名单机制控制可执行脚本,严格验证输入格式,限制字符范围,提取文件名防止路径穿越,并尽量用ZipArchive、GD等内置函数替代系统命令,减少风险暴露面。
在PHP开发中,执行外部系统命令是常见需求,比如调用shell脚本、处理文件压缩、调用系统工具等。但使用exec、system、shell_exec、passthru或反引号(``)等函数时,若未对输入进行严格过滤,极易引发“命令注入”漏洞,攻击者可借此执行任意系统命令,导致服务器被控制。
要安全地执行外部命令,核心原则是:不要直接拼接用户输入到命令字符串中,必须对输入进行验证和转义。
1. 使用 escapeshellarg() 和 escapeshellcmd() 函数
这两个函数是PHP内置的安全工具,用于处理传入外部命令的参数或完整命令。
- escapeshellarg($string):将字符串加上单引号,并转义其中的单引号,确保参数作为一个整体传入。适用于处理命令参数。
- escapeshellcmd($string):对字符串中的特殊字符(如 &, ;, |, $ 等)进行转义,防止命令链注入。适用于过滤整个命令路径。
示例:
立即学习“PHP免费学习笔记(深入)”;
$filename = $_GET['file'];
$safe_file = escapeshellarg($filename);
$output = shell_exec("cat $safe_file");
// 即使输入为 "test.txt; rm -rf /",也会被当作一个文件名处理
2. 尽量避免使用用户输入构造命令
最安全的方式是完全避免将用户输入嵌入命令。可通过白名单机制替代。
例如,如果需要让用户选择执行某个脚本:
$scripts = [
'backup' => '/usr/local/bin/backup.sh',
'clean' => '/usr/local/bin/clean.sh'
];
$action = $_GET['action'] ?? '';
if (isset($scripts[$action])) {
exec($scripts[$action]);
} else {
die('Invalid action');
}
这样不依赖用户输入拼接命令,从根本上杜绝注入风险。
3. 输入验证与类型限制
对所有参与命令构建的变量进行严格校验:
- 使用 filter_var() 验证数据格式(如邮箱、IP)
- 使用正则匹配限定合法字符,如只允许字母数字:
preg_match('/^[a-zA-Z0-9]+$/', $input) - 对文件路径使用 basename() 提取文件名,防止路径穿越
4. 使用更安全的替代方案
许多场景下,PHP已有内置函数替代外部命令:
- 压缩解压可用 ZipArchive 类
- 图像处理推荐 GD 或 Imagick
- 文件操作尽量用 fopen、unlink 等函数
减少对外部命令的依赖,自然降低风险。
基本上就这些。关键在于:永远不要信任用户输入,能不用外部命令就不用,非用不可时务必层层过滤,结合白名单和转义函数双重保障。安全无小事,细节决定成败。
