PHP安全之道学习笔记4：系统命令注入

系统命令注入

我们有时候写代码会用php脚本去调用系统函数完成业务功能，但是一些系统函数属于高危操作，一旦被webshell或者抓住漏洞则后患极大。

下面整理如下风险系统函数.

• exec() 函数

该函数可以执行系统命令，并且返回输出结果到$output中。具体使用请参考官网。

例如 用户访问 http://localhost/exec.php?cmd=ls -al,cmd中的命令将被执行.

<?php 
    echo exec($_GET["cmd"], $output);
    foreach($output as $value) {
        echo $value;
    }

• system()函数

该函数和exec函数类似，唯一不同是直接返回结果，无需赋值给第二个参数变量。

<?php
    system($_GET["cmd"]);

• passthru()函数
  该函数也会调用系统命令，并把运行结果二进制数据原样地直接输出到标准输出设备上。

<?php
    passthru($_GET["cmd"]);

• shell_exec()函数

这是我比较也喜欢用的函数，通过执行shell命令并返回完整输出字符串，和执行shell效果一样。

<?php

    $output = shell_exec($_GET["cmd"]);
    echo $output;

• pcntl_exec()函数

pcntl是Linux系统下的一个扩展，可以支持PHP实现多线程。

<?php
 pcntl_exec($_GET["cmd"], $_GET["args"]);

为了防止命令注入，我们可以关注的方面比较多，如下：

• 1.我们可以尽量避免使用这类函数，从业务层面避免从用户端接受到命令。

• 2.另一方面，如果一定使用，一定不能暴露给用户能直接不鉴权就调用。

• 3.然后我们也可以设置php.ini配置,将这些可能造成风险的系统调用函数禁用。
  只需要将php.ini中的safe_mode设置为On,然后修改如下部分:

disable_functions=exec,system,shell_exec,passthru,popen,pcntl_exec

有人可能会用如果我一定要用到这些函数来实现功能呢？
那我们可以自定义实现，或者在执行的时候将逻辑判断健壮性加强，增加一些必要判断逻辑。

• 4.使用escapeshellarg()和escapeshellcmd()函数来处理命令参数是一个不错的选择。

• 5.使用safe_mode_exec_dir指定可执行文件的路径。

在php.ini文件中设置如下:

safe_mode = On
safe_mode_exec_dir = /usr/local/php/bin

参数尽量使用引号包裹，并在拼接的时候使用addslashes函数进行转义。