Laravel 进程组件安全问题？

Posted 2023-02-23

【中文标题】Laravel 进程组件安全问题？

【英文标题】：Laravel process component Security issue?

【发布时间】：2018-11-28 16:38:05

【问题描述】：

我有一个问题，这种代码方式是否存在安全问题？在 Laravel Symfony 组件中？

        $process = new Process('youtube-dl -j '.request('user_input');
        $process->run();
        $output = $process->getOutput();

我在文档中看到了一些示例，但它就像 ls -lsa 没有用户输入。是否可以从用户那里注入恶意代码？

在我应用此方法之前有什么帮助吗？

【参考方案1】：

这是 100% 不安全的。

我不知道 Symfony，但从第一印象来看，它并不安全。

首先，您将输入注入到命令字符串中，这意味着您将一个参数作为字符串传递。

流程如何理解哪一项是您的用户的输入？

我建议您再次阅读文档。您可能会找到一种将用户输入作为附加参数传递的方法。

如果你找到了，我想你会安全的。