Компонент процесса Laravel Проблема безопасности?
У меня есть вопрос, есть ли проблемы с безопасностью с этим способом кода? в компоненте Laravel Symfony?
$process = new Process('youtube-dl -j '.request('user_input');
$process->run();
$output = $process->getOutput();
Я видел несколько примеров в документации, но это было похоже на ls -lsa без ввода пользователя. Можно ли внедрить вредоносный код от пользователей?
Любая помощь, прежде чем применить этот метод, пожалуйста?
Решение
Это на 100% небезопасно.
Я понятия не имею о Symfony, но с первого взгляда, это не безопасно.
Во-первых, вы вводите ввод в вашу командную строку, это означает, что вы передаете один параметр в виде строки.
Как процесс может понять, что является входом вашего пользователя?
Я предлагаю вам снова прочитать документацию. Вы можете найти способ передать пользовательский ввод в качестве дополнительного параметра.
Если вы найдете это, я думаю, вы будете в безопасности.
Другие решения
Других решений пока нет …
detector