Server执行Linux 命令如何避免前端参数攻击?
举例
PHP后端某个Server想要使用linux 某个套件,想要字串转成excel xlsx 档案
$ txtToXlsx '{0}'
前端可以输入
id , name
1 , xxx1
2 , xxx2
Server系统可以自动将字串转换为excel
但我想到假如前端使用者加上 '
,不就可以自己组合命令
甚至可以攻击、控制Server?
请问我要搜寻什么关键字或是方式才能避免这种攻击呢?
与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…