个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
PHP 函数 escapeshellarg() 变成了这个:
"A schema"."A table"
进入这个:
" A schema . A table "
也就是说,它将引号替换为空格而不是引号。预期和期望的结果(由我)是:
"\"A schema\".\"A table\""
这浪费了我生命中无数的故障排除时间。很长一段时间,我只是想不通发生了什么。我的大脑从来没有想过它会愚蠢到完全删除双引号!即使这“使其安全”,在转义它们时这样做也是一件很奇怪的事情,这不仅是处理此问题的标准和受支持的方式,而且不会导致使用此功能时出现任何问题。
需要注意的是,我已经阅读了以下评论:https://www.php.net/escapeshellarg
我也读过很多其他文本提示这个功能和 Windows shell 转义等等,所以我至少“模糊地”知道原因:“它很复杂。”
但是,我发现自己完全被这个核心函数 (escapeshellarg) 所困扰,不幸的是,PHP 经常出现这种情况,我发现自己试图创建自己的函数来替换它。这当然是非常有问题和可怕的,因为这个功能的一半是与安全相关的!它应该“确保”任意字符串用作命令行上的参数,而不会冒攻击者可以“突破”它并执行任意命令的风险!
出于这个原因,我很确定只要这样做:
$likely_not_a_safe_argument = '\"' . str_replace('"', '\"', $user_input) . '\"';
... 不安全!如果真的这么简单,那么我敢肯定 PHP 开发人员会在 escapeshellarg 中为 Windows 做到这一点。
基本上,我现在不知道该怎么办。是的,我确实需要在参数中发送双引号。这是必要的真实示例:
pg_dump --format plain --verbose --file "dump.txt" --exclude-table-data="\"Test schema\".\"Test table\"" --host="localhost" --port="5432" --username="postgres" --dbname="testdb"
(不,它不需要单引号或其他任何东西。它必须是标识符周围的双引号。)
我应该如何安全地“改进”escapeshellarg() 以便它不会破坏我的双引号?其他人都做什么?
最佳答案
你可以使用 addslashes();功能。
关于php - 如何阻止 escapeshellarg() 在 Windows 上将 "s 变成空格?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63081623/
25
4
0
我知道这在 Linux 上是可能的。我尝试使用 open("E:", 0); 和 open("E:\\", 0); 但它返回为 -1。我想将 DVD 作为一个大文件来读取,而不是将其用作文件系统。 最
我正在尝试编译一个包含 CUDA 代码的小型库。 我已成功将其编译为共享库,但我真正需要的是静态库。 我有两个源文件: main.c:包含一个用C编写的测试函数。我用gcc编译这个文件 mai
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 9 年前。 Improve
我正在使用 MingW 在 Windows 上编写 C 程序,并希望使用 EXPAT XML 库。我想静态编译我的程序,所以我需要静态 .a 库。 有什么方法可以将 EXPAT 编译成 Windows
我想将结果限制为 KEY_HOMEID 等于 journalId 的结果。我已经研究了几天,如有任何帮助,我们将不胜感激。 public Cursor fetchAllNotes(String jou
我一直在寻找这个信息,但是由于可以通过 homebrew 和 pip 安装额外的包和 python 版本,我感觉我的环境很乱向上。此外,很久以前,我用 sudo pip install 和 sudo
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
我正在尝试合并目录中的所有 *.pdf : gswin64c -q -dNOPAUSE -sDEVICE=pdfwrite -sOutputFile=Total_Files.pdf -dBATCH *
所以我有一个简单的图像缩略图着陆页,例如: 在我的网站上,4 个并排显示在桌面上。如何强制它们在移动设备 View 中成对出现在一行中? 所以:桌面: #### 手机: ## ## 最佳答案
我正在使用 Ubuntu 21.04。我已删除 /usr/bin/python3和 /usr/lib/python3/因为某些软件包在二进制文件中出现错误。我的意思是重新安装python3到一个新的状
是否可以在 Windows 上使用 gyp 将 googles v8 构建为共享库(msvc 2012)?我试过的一切都不起作用。我试过的: python build\gyp_v8 -Dcompone
我需要将 rubygems 从 1.3.5 更新到 1.4.2 但显然 rubygems update 只是将您更新到最新版本 如何更新到 1.4.2? 最佳答案 您可以使用 RVM 安装特定
我还没有找到太多关于它的信息,但我看到了一些提示,表明可以在 iPhone 应用程序中使用 NSTask。如果可能的话,我将如何去做? 我不想越狱我的 iPhone,但我正在开发的应用程序仅供内部使用
我在 UIWebView 中有一个 map 图像。它默认加载在左上角。我希望它在 UIWebView 的中心初始化。 有人知道怎么做吗? 谢谢! 最佳答案 如果 map 图像是页面中唯一的内容,它是否
如何公开 NodePort 类型的服务上网没有 使用类型 LoadBalancer ?我发现的每个资源都是通过使用负载均衡器来完成的。但我不希望负载平衡对我的用例来说既昂贵又不必要,因为我正在运行 p
是否可以将 View 变成可编辑的,例如 this image ? 我知道我可以使用 GridView 来做到这一点。但是,我正在尝试使用 TableRows 来做到这一点,这可能吗? 编辑:我真正想
假设我已将 Heroku 应用程序扩展为 1 个工作进程,但如何指定具有特定名称的 rake 任务应作为工作进程运行? 最佳答案 在你的项目中创建一个 Procfile,然后像这样将 rake 任务放
目前,我在 GitHub 上一个项目的 README.md 文件中使用此 Markdown 文本: See the docs of [testthat][3] on how to write unit
我正在尝试使用一些到 uint8_t 的转换将 IPv4 转换为 IPv6。我知道 IPv4 有 4 个字节,IPv6 有 2 个字节的 16 个无符号整数,但我找不到它们转换的方法。 #includ
我是编程新手,目前正在学习 C。您能帮我解决以下案例吗? 一个例子是,如果用户输入“cbamike”,我想将其分成两个字符串:cba 和 mike。 我尝试了下面的代码,但它不起作用: #includ
我是一名优秀的程序员,十分优秀!