Ejecucion de comando shell

Vie Jun 11 11:42:47 CLT 2004

mramirez en iciuchile.cl dijo:
> Mensaje citado por Juan Cataldo Sepulveda <jcataldo en inf.utfsm.cl>:
> > mramirez en iciuchile.cl dijo:
> > > [ejecutar script bash con valores de un formulario]
> > Puede llegar a ser peligroso. Ojo.
>
> LO se. En todo caso, los datos a capturar mediante el formulario estan
> restringidos a solo ciertos valores. 

Lo cual es util siempre que las restricciones las impongas en el lado del 
servidor. Seguramente ya lo sabes, pero es bueno aclarar que cualquier 
restriccion que intentes imponer por el lado del cliente (javascript, 
maxlength, etc.) puede ser facilmente obviada.

> Ademas, vi que la funcion escapecmdshell te revisa argumentos extraños. 

En realidad solo escapa los caracteres necesarios para prevenir la 
ejecucion de un comando arbitrario.

> Por otro lado, el script  tendra permiso de ejecucion solamente al
> usuario Apache y nadie mas.

Recuerda que todos los scripts de tu sitio (incluso ese que contiene el 
user/pass para conectarse a la infaltable BD) son accesibles por ese 
usuario.

> > escapeshellcmd() espera recibir un string, no un array. Revisa:
> >
> > http://php.net/escapeshellcmd
>
> Vi un script en Inet que podia ser un array si los parametros son
> varios.

La documentacion oficial manda.

-- 
Juan M. Cataldo Sepulveda           mailto:jcataldo en inf.utfsm.cl
                               http://www.inf.utfsm.cl/~jcataldo
Unidad de Servicios de Computacion e Internet - DI, UTFSM, Chile
To bring the pieces back together, rediscover communication 