Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/php/291.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/ssh/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php CodeIgniter:OS命令注入_Php_Codeigniter 2_Code Injection - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php CodeIgniter:OS命令注入

Php CodeIgniter:OS命令注入

php

Php CodeIgniter:OS命令注入,php,codeigniter-2,code-injection,Php,Codeigniter 2,Code Injection,CodeIgniter中有没有一种方法可以防止操作系统命令自动注入?我知道CI拥有的所有其他保护,但找不到有关OS命令注入的任何资料 收到评论后编辑: 我们正在开发一个我们正在开发的web应用程序,它将托管在一个大型内部网络中,在那里,我们需要遵守严格的安全策略。其中之一是操作系统命令注入保护。他们担心用户会通过输入字段运行操作系统命令。这有可能吗?我如何防止这种情况发生?CodeIgniter不运行shell命令,这是防止命令注入的一种非常简单的方法。如果要将shell命令执行添加到正在创建的

CodeIgniter中有没有一种方法可以防止操作系统命令自动注入?我知道CI拥有的所有其他保护,但找不到有关OS命令注入的任何资料

收到评论后编辑:

我们正在开发一个我们正在开发的web应用程序,它将托管在一个大型内部网络中,在那里,我们需要遵守严格的安全策略。其中之一是操作系统命令注入保护。他们担心用户会通过输入字段运行操作系统命令。这有可能吗?我如何防止这种情况发生?

CodeIgniter不运行shell命令,这是防止命令注入的一种非常简单的方法。如果要将shell命令执行添加到正在创建的web应用程序中,则需要自己注意防止命令注入。

CodeIgniter具有防止SQL注入而不是命令注入的功能。有3种方法可以防止来自url的攻击:

  • 设置运行web应用程序的有限用户权限。确保他不会写或执行失控

  • 在php.ini的Disable_函数中禁用php函数

  • 安装苏霍辛수호신 它是一个PHP安全扩展,并停止eval()。因为eval()是一个构造而不是函数,所以不能在php.ini中使用disable_函数禁用它

    • 在中检查我的命令注入攻击。它不仅包含shell_exec(),还包含eval()。

    我认为CodeIgniter没有一个内置类来运行shell命令,所以它没有这个类。看一看,然后。根据您正在执行的操作,可能会很有用。您是否实际在shell中执行用户提供的输入?如果没有,你就不必担心这个问题。不,但是我们正在开发的一个Web应用程序将托管在一个大型的内部网络中,在那里,我们需要遵守严格的安全策略。其中之一是操作系统命令注入保护。他们担心用户会通过输入字段运行操作系统命令。这可能吗?我如何防止?我会相应地更新问题。谢谢。这使我能够按照客户的要求完成文档。