ん?コマンドラインで <?php echo `echo 12345`; が通らないとかいうの? 試してみた?
-
OSコマンドインジェクションをググって理解してください
-
-
webセキュリティの基礎を理解していない人に基礎的な話をTwitterで説明する気にはなれません 面倒くさいですし なので自分で調べてください,OSコマンドインジェクションとフルパスは何も関係ないことがわかると思います
-
その根拠は? 根拠なしにそんなこと言われてもなー
-
徳丸さんのwebセキュリティの本でも読んでくれませんか? なんで私が無料で教えてあげないといけないんですか? しかもこんな喧嘩腰な態度の人に
-
いやまあ答えなくてもいいんだよ、キミの強迫性障害が発症しちゃうかもしれないからね。 ……で、そのユースケースは本当に良くあるパターンなのかな? 良く考えてみてほしいな。
-
今外部モジュールにユーザ入力の値を渡すプログラム書いてますし最初期にcracklibでユーザのパスワードチェックするプログラム書きましたが
-
安全性が確保出来ない環境で外部から実行しうるコマンド文字列に対して自由な文字列入力を認めるな。phpじゃなくてもエラー起こるだろ、普通に考えて。安全性の問題ちゃうで。そういうプログラムが論外なんやで。
-
コマンド直接起動すれば安全性確保が楽になるって話なんですが シェルが介在するとバリデーションが面倒になる
-
だから、標準入力食べるプログラム作ってそれをproc_openでひらけばええだけやろ。 なんやコマンド書き換えられてるとかそういう話や思うたのにアホくさー思うてるで。
- 5 more replies
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.