[Erledigt] url mit GET durch escapeshellcmd()?

zwergchen1 · 28.01.2012, 18:23

hallo,
wenn ich eine URL mit _GET parametern durch escapeshellcmd() ziehe, wird leider zu viel escaped, weil das "?" und die "&" escaped werden, wodurch wiederum wget mit der URL nichts mehr anfangen kann.

PHP-Code:

  $_POST = array_map('escapeshellcmd', $_POST);

exec("/usr/bin/wget '".$_POST["url"]."' -o test.log");

Zitat:

http://domain.com/\?test=bla\&test2=bla2

auf escapeshellcmd() wollte ich eiglt nicht verzichten, weil ich sonst angst vor einer injection hab. was nun?

danke

Dark Guardian · 28.01.2012, 18:27

CMD (Befehl)
http://www.php.net/manual/de/functio...peshellcmd.php

VS

ARG (Argument)
http://www.php.net/manual/de/functio...peshellarg.php

zwergchen1 · 28.01.2012, 18:48

ich hab mir jetzt mehrfach die beiden beschreibungen auf php.net durchgelesen, aber ich versteh das irgendwie nicht richtig.

reicht es demnach wenn ich es NUR mit escapeshellarg() behandle?

Dark Guardian · 28.01.2012, 19:06

Zitat:

Zitat von zwergchen1

ich hab mir jetzt mehrfach die beiden beschreibungen auf php.net durchgelesen, aber ich versteh das irgendwie nicht richtig.

reicht es demnach wenn ich es NUR mit escapeshellarg() behandle?

Um es verstehen zu können musst du wissen wie die Shell Befehlsargumente behandelt.

Zitat:

escapeshellcmd() maskiert alle möglichen Zeichen in einer Zeichenkette

Zitat:

escapeshellarg() fügt einfache Anführungszeichen um eine Zeichenkette herum ein und maskiert alle existierenden einfachen Anführungszeichen innerhalb der Zeichenkette

Das ist der zentrale Unterschied.

Laut den User Kommentaren interpretiert die Unix Shell nichts als Befehl was in Single Quotes geschrieben wurde. Das gewährleistet escapeshellarg.

Code:

Aus

exec("/usr/bin/wget EINGABE -o test.log");

mit "http://...'; echo 'hello'" als Eingabe würde werden

exec("/usr/bin/wget 'http://...\'; echo \'hello\'' -o test.log");

zwergchen1 · 28.01.2012, 19:18

ich glaub der groschen ist gefallen.

escapeshellarg() setzt einmal anführungszeichen drumherum, damit nicht ausgebrochen werden kann. außerdem escaped escapeshellarg() alle gefährlichen befehle innerhalb des strings, damit nicht aus den anführungszeichen ausgebrochen werden kann, demnach reicht bei argumenten bzw strings escapeshellarg() völlig aus. richtig?

sorry für die schwere geburt.

edit, also wäre es so richtig:

PHP-Code:

  exec("/usr/bin/wget ".escapeshellarg($_POST["url"])." -o test.log");

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Funktion escapeshellcmd emulieren	MaMo-Net	PHP Tipps 2007	8	07.03.2007 18:20


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.01.2012, 18:27
Dark Guardian Erfahrener Benutzer Registriert seit: 10.10.2009 Beiträge: 2.631 PHP-Kenntnisse: Fortgeschritten	CMD (Befehl) http://www.php.net/manual/de/functio...peshellcmd.php VS ARG (Argument) http://www.php.net/manual/de/functio...peshellarg.php __________________ "Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".

28.01.2012, 18:48
zwergchen1 Neuer Benutzer Registriert seit: 13.10.2011 Beiträge: 29 PHP-Kenntnisse: Anfänger	ich hab mir jetzt mehrfach die beiden beschreibungen auf php.net durchgelesen, aber ich versteh das irgendwie nicht richtig. reicht es demnach wenn ich es NUR mit escapeshellarg() behandle?

28.01.2012, 19:18
zwergchen1 Neuer Benutzer Registriert seit: 13.10.2011 Beiträge: 29 PHP-Kenntnisse: Anfänger	ich glaub der groschen ist gefallen. escapeshellarg() setzt einmal anführungszeichen drumherum, damit nicht ausgebrochen werden kann. außerdem escaped escapeshellarg() alle gefährlichen befehle innerhalb des strings, damit nicht aus den anführungszeichen ausgebrochen werden kann, demnach reicht bei argumenten bzw strings escapeshellarg() völlig aus. richtig? sorry für die schwere geburt. edit, also wäre es so richtig: PHP-Code: `exec("/usr/bin/wget ".escapeshellarg($_POST["url"])." -o test.log");` Geändert von zwergchen1 (28.01.2012 um 19:23 Uhr).