Server执行Linux 命令如何避免前端参数攻击?
举例
PHP后端某个Server想要使用linux 某个套件,想要字串转成excel xlsx 档案
$ txtToXlsx '{0}'
前端可以输入
id , name 1 , xxx1 2 , xxx2
Server系统可以自动将字串转换为excel
但我想到假如前端使用者加上 ' ,不就可以自己组合命令
'
甚至可以攻击、控制Server?
请问我要搜寻什么关键字或是方式才能避免这种攻击呢?
最好就不要直接使用前端入参,防不胜防.
如果只是 csv 转 xlsx 这个逻辑,php 自己实现就可以
548k questions
547k answers
4 comments
86.3k users