Server执行Linux 命令如何避免前端参数攻击?

Server执行Linux 命令如何避免前端参数攻击?

举例

PHP后端某个Server想要使用linux 某个套件,想要字串转成excel xlsx 档案

$ txtToXlsx '{0}'

前端可以输入

id , name
1    , xxx1
2    , xxx2

Server系统可以自动将字串转换为excel

但我想到假如前端使用者加上 ' ,不就可以自己组合命令

甚至可以攻击、控制Server?

请问我要搜寻什么关键字或是方式才能避免这种攻击呢?

阅读 1.5k
1 个回答

最好就不要直接使用前端入参,防不胜防.

如果只是 csv 转 xlsx 这个逻辑,php 自己实现就可以

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题