Искам да получа лесен формуляр, като използвам php и системната команда на unix 'whois'. Къде е грешката? :-/
<form action="whois.php" method="get" >
<p>
Domainadresse (ohne <i>http://</i> oder <i>www</i>) <input type="text" name="domainname" value="teleschirm.info" />
<input type="submit" value="Okay, Abfrage starten!" />
</p>
</form>
<?php
echo '<pre>';
$last_line = system('whois
echo $_POST[domainname]
' , $retval);
echo '</pre>'
?>
Използвате единични кавички. Какво има между единични кавички не се оценява, така че вашата променлива не се копира в низа, който подавате в system. Променете реда на
system("whois {$_POST['domainname']}" , $retval);
form използва метод get, но php кодът използва post променлива. изберете едно и за двете.
използването на променливата в системата е грешно:
$last_line = system('whois '.$_POST['domainname'] , $retval);
отбелязвате с върнатата стойност:
echo $retval;
както е отбелязано от други: въведеното от потребителя трябва да бъде дезинфекцирано с escapeshellarg() или escapeshellcmd()
Струва си да се отбележи, че тук има голяма дупка в сигурността и това обикновено трябва да се избягва. Въведеното от потребителя не трябва да се предава на system() без внимателно дезинфекциране. Какво се случва, ако нечий домейн е това?
sorry.com; rm -rf /
Ще изтрие всичко на сървъра. Ще искате да дезинфекцирате данните, вероятно с escapeshellarg() и/или escapeshellcmd().
Бих изтрил всичко извън [a-z0-9] и евентуално няколко безвредни специални знака като _, -, . Единични кавички на аргумента.
:-)
$_POST['domainname'] = '; rm -rf ');- person Marc B schedule 14.08.2015