Ejecucion de comando shell
Juan M. Cataldo S.
jcataldo en inf.utfsm.cl
Vie Jun 11 11:42:47 CLT 2004
mramirez en iciuchile.cl dijo:
> Mensaje citado por Juan Cataldo Sepulveda <jcataldo en inf.utfsm.cl>:
> > mramirez en iciuchile.cl dijo:
> > > [ejecutar script bash con valores de un formulario]
> > Puede llegar a ser peligroso. Ojo.
>
> LO se. En todo caso, los datos a capturar mediante el formulario estan
> restringidos a solo ciertos valores.
Lo cual es util siempre que las restricciones las impongas en el lado del
servidor. Seguramente ya lo sabes, pero es bueno aclarar que cualquier
restriccion que intentes imponer por el lado del cliente (javascript,
maxlength, etc.) puede ser facilmente obviada.
> Ademas, vi que la funcion escapecmdshell te revisa argumentos extraños.
En realidad solo escapa los caracteres necesarios para prevenir la
ejecucion de un comando arbitrario.
> Por otro lado, el script tendra permiso de ejecucion solamente al
> usuario Apache y nadie mas.
Recuerda que todos los scripts de tu sitio (incluso ese que contiene el
user/pass para conectarse a la infaltable BD) son accesibles por ese
usuario.
> > escapeshellcmd() espera recibir un string, no un array. Revisa:
> >
> > http://php.net/escapeshellcmd
>
> Vi un script en Inet que podia ser un array si los parametros son
> varios.
La documentacion oficial manda.
--
Juan M. Cataldo Sepulveda mailto:jcataldo en inf.utfsm.cl
http://www.inf.utfsm.cl/~jcataldo
Unidad de Servicios de Computacion e Internet - DI, UTFSM, Chile
To bring the pieces back together, rediscover communication
Más información sobre la lista de distribución PHP