PHP exec est-il sécurisé?

Question

J'essaye d'obtenir exec travaillant sur un serveur de Windows et recevant le message d'erreur "incapable de bifurquer". Après avoir passé en revue le problème un peu, il semble que la solution recommandée est de donner les autorisations READ et EXECUTE au compte IUSR à c: \ Windows \ System32 \ cmd.exe.

Mais cela a été un trou de sécurité majeur non? Est-ce sûr? Existe-t-il un autre moyen d'exécuter [depuis php] un exe résidant sur le serveur?

Answer 1

Il doit exécuter cmd.exe parce que lorsque Windows PHP voit ceci:

exec("foo -bar -baz"); 

Il appelle ceci:

cmd /c foo -bar -baz 

Il est seulement un trou de sécurité si vous laissez entrer vos utilisateurs paramètres. À savoir, vous ne devriez pas faire:

// DO NOT DO THIS! 
exec("foo -bar=" . $_GET['bar']); 

Au lieu de cela, vous devez désinfectez vos paramètres avec escapeshellarg.

// This is okay. (Be sure foo.exe can handle unexpected input!) 
exec("foo -bar=" . escapeshellarg($_GET['bar'])); 

Answer 2

Une chose que vous devez garder à l'esprit est que la création d'un processus sous Windows entraîne plus de frais généraux que que sur les systèmes d'exploitation Unix classe. Si vous avez un grand nombre d'utilisateurs, l'appel répété exec() pourrait ralentir le serveur. Si vous prévoyez une lourde charge sur votre serveur, vous pouvez envisager d'avoir un processus de travail en cours en tant que Windows service