PHP マニュアル: シェルのメタ文字をエスケープする

説明

string escapeshellcmd(string $command)

escapeshellcmd は、文字列中においてシェルコマンドをだまして勝手なコマンドを実行する可能性がある文字をエスケープします。この関数は、ユーザーに入力されたデータを関数 exec または system または、バッククォート演算子に渡す前に全てエスケープを行う場合に使用するべきです。

&#;`|*?~<>^()[]{}$\、\x0A および \xFF については、その文字の前にバックスラッシュが追加されます。' および " は、対になっていない場合にのみエスケープされます。 Windows では、これらの文字に加えて % と ! の前にキャレット (^) が付加されます。

パラメータ

command: エスケープされるコマンド

戻り値

エスケープされた文字列

例

例1 escapeshellcmd の例

<?php
// 意図的に、任意の数の引数を指定できるようにしています
$command = './configure '.$_POST['configure_options'];

$escaped_command = escapeshellcmd($command);
 
system($escaped_command);
?>

注意

警告

escapeshellcmd はコマンド文字列全体に適用しなければなりません。また、そうしたところで、まだ任意の数の引数を渡すことによる攻撃を許してしまいます。単一の引数をエスケープするには、かわりに escapeshellarg を使わねばなりません。

警告

スペースは escapeshellcmd 関数ではエスケープされません。たとえば、Windows で問題になりがちな C:\Program Files\ProgramName\program.exe のようなパスが当てはまります。この問題は以下のようなコードで緩和できます:

<?php
$cmd = preg_replace('`(?<!^) `', '^ ', escapeshellcmd($cmd));

参考

escapeshellarg
exec
popen
system
バッククォート演算子