シェルを経由しないOSコマンド呼び出しがPHP7.4で実装された | 徳丸浩の日記

2019/12/05 23 users 徳丸浩 シェル PHP コマンド コマンド呼び出し機能

この記事はPHP Advent Calendar 2019の5日目の記事です。 はじめに私は6年前に、PHP Advent Calendar 2013として「PHPだってシェル経由でないコマンド呼び出し機能が欲しい」という記事を書きました。その中で、OSコマンドインジェクション対策の根本的かつ安全な対策は「シェルを経由しないコマンド呼び出し」であるこ... 続きを読む

mb_send_mail()，mail()で第5引数を設定する際の注意点 - t_komuraの日記

2013/12/23 54 users t_komura mail php.ini Sendmail

以下の徳丸さんの記事を読んで、以前にmb_send_mail()の関連で調べたことがあったのを思い出しましたので、少し書きます。PHPだってシェル経由でないコマンド呼び出し機能が欲しい環境は Unix 系の OS で OS コマンドを使用してメールを送信する場合です。メール送信コマンドは php.ini で sendmail_path を設定します(デフォルト: "sendmail -t -i")... 続きを読む

Python でシェル経由でコマンド実行するときのバッドノウハウ - methaneのブログ

2013/12/22 173 users kill subprocess バッドノウハウ エスケープ

2013-12-23 Python でシェル経由でコマンド実行するときのバッドノウハウ PHPだってシェル経由でないコマンド呼び出し機能が欲しい コマンド実行でシェルが怖いなら使わなければいいじゃない どちらの記事でも Python の subprocess を使ってシェルを介在せずにコマンドを実行する方法が紹介されています。 シェルを介在すると、エスケープの問題考えるのが面倒だったり、 kill... 続きを読む

PHPだってシェル経由でないコマンド呼び出し機能が欲しい | 徳丸浩の日記

2013/12/21 104 users 徳丸浩 PHP OSコマンドインジェクション エントリ 日記

2013年12月21日土曜日 PHPだってシェル経由でないコマンド呼び出し機能が欲しい このエントリはPHP Advent Calendar 2013 in Adventar の21日目です。 OSコマンドインジェクションとは OSコマンドインジェクションという脆弱性があります。PHPから外部コマンドを呼んでいる場合に、意図したコマンドとは別のコマンドを外部から指定され、実行されてしまうものです。... 続きを読む

銀行丸めと四捨五入。 | みむらの手記手帳

2013/06/20 102 users 四捨五入 ROUND 手記手帳 実数 整数

C や C# そして Ruby や Java などでは、実数を整数に丸める際、 単純にキャストしますと切り捨てますが、 round 関数で丸める際に、挙動が異なります。 Python: Ruby: C#: （自作のシェル経由でごめんなさい）   C や Ruby, Java では四捨五入がデフォルトで行われますが、 C# では、銀行丸めがデフォルトで行われます。 正式名称は 「最近接偶数への丸め」... 続きを読む