极客观点
项目管理
HarmonyOS
Server执行Linux 命令如何避免前端参数攻击?
举例
PHP后端某个Server想要使用linux 某个套件,想要字串转成excel xlsx 档案
$ txtToXlsx '{0}'
前端可以输入
id , name
1 , xxx1
2 , xxx2
Server系统可以自动将字串转换为excel
但我想到假如前端使用者加上 ' ,不就可以自己组合命令
甚至可以攻击、控制Server?
请问我要搜寻什么关键字或是方式才能避免这种攻击呢?
Server执行Linux 命令如何避免前端参数攻击?
阅读 1.5k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
如何防止接口的 key 泄露?
目前有一个小程序,功能上比较简单,但是需要调用其他平台提供的 AI 相关接口。为了节省服务器费用,想直接在前端请求接口,但是这样就会暴露接口的 key。有没有其他办法可以防止 key 泄露? 或者默许 key 可能的泄露,然后实时监控接口的使用量,这种方式是否可行?8 回答2.9k 阅读
字节的 trae AI IDE 不支持类似 vscode 的 ssh remote 远程开发怎么办?
尝试一下字节的 trae AI IDE ([链接])安装后导入 vscode 的配置,好像一起把 vscode 的插件也导入了也能看到 vscode 之前配置的 ssh remote 但是连不上看到「输出」如下⬇️ {代码...}2 回答5.2k 阅读✓ 已解决
在购买页面,这里有: for 1 month, for 3 months,这里说的意思是什么呢?
请问:在购买页面,这里有: for 1 month, for 3 months,这里说的意思是什么呢?5 回答1.4k 阅读
www.baidu.com 中的 baidu 被称为什么域名?
[链接].com 是顶级域名baidu.com 是二级域名但如果只是 baidu 呢? 叫什么?叫做注册域名?因为现在一个网站有各种不同顶级域名比如下面这个网站,注册了一堆的 .cc 、.me、.la、.fun 这种杂牌域名3 回答2.2k 阅读
求推荐双向同步数据的软件?
有这样的一个场景:A电脑有一个:/data/ 数据目录,B电脑需要进行随时同步,我可能通过一个移动磁盘来进行同步。因为每次不能进行复制覆盖(因为目录会越来越大),所以想要进行同步差异化的文件(比如:新增的,新修改的)请问是否有这样的软件来进行差异化的双向同步呢?1 回答879 阅读✓ 已解决
请问是否有什么方案实现不同用户之间本地数据库的同步呢?
请问是否有这样的功能?比如我本地A应用有应用sqlite数据库,然后用户B有同样的应用,C用户也有。A的数据库会自己增删改查,B/C的也会,但是有一天他们想要同步数据。请问是否有什么方案实现呢?2 回答803 阅读✓ 已解决
我在feat分支执行`git fetch`,请问下: 会fetch master和feat的新增的commit吗?还是只会fetch当前分支feat的新增的commit?
我在feat分支执行git fetch,请问下:会fetch master和feat的新增的commit吗?还是只会fetch当前分支feat的新增的commit?2 回答929 阅读✓ 已解决
最好就不要直接使用前端入参,防不胜防.
如果只是 csv 转 xlsx 这个逻辑,php 自己实现就可以