トップページ　→関数リファレンス　→プロセス制御　→プログラムの実行　→プログラム実行関数

関数・クラス解説

escapeshellcmd

version:PHP 4, PHP 5, PHP 7 (公式)

シェルのメタ文字をエスケープする

公式リファレンス

書式

escapeshellcmd ( string $command ) : string

説明

escapeshellcmd() は、文字列中においてシェルコマンドをだまして勝手なコマンドを実行する可能性がある文字をエスケープします。この関数は、ユーザーに入力されたデータを関数 exec() または system() または、バックティック演算子に渡す前に全てエスケープを行う場合に使用するべきです。

&#;`|*?~<>^()[]{}$\、\x0A および \xFF については、その文字の前にバックスラッシュが追加されます。' および " は、対になっていない場合にのみエスケープされます。 Windows では、これらの文字に加えて % と ! の前にキャレット (^) が付加されます。

パラメータ

command: エスケープされるコマンド

返値

エスケープされた文字列

注意

警告 escapeshellcmd() はコマンド文字列全体に適用しなければなりません。また、そうしたところで、まだ任意の数の引数を渡すことによる攻撃を許してしまいます。単一の引数をエスケープするには、かわりに escapeshellarg() を使わねばなりません。警告 escapeshellcmd() はコマンド文字列全体に適用しなければなりません。また、そうしたところで、まだ任意の数の引数を渡すことによる攻撃を許してしまいます。単一の引数をエスケープするには、かわりに escapeshellarg() を使わねばなりません。

サンプル

例1 escapeshellcmd() の例 

// 意図的に、任意の数の引数を指定できるようにしています
$command = './configure '.$_POST['configure_options'];

$escaped_command = escapeshellcmd($command);
 
system($escaped_command);

参考

escapeshellarg() - シェル引数として使用される文字列をエスケープする

exec() - 外部プログラムを実行する

popen() - プロセスへのファイルポインタをオープンする

system() - 外部プログラムを実行し、出力を表示する

バックティック演算子

ワード検索

※入力キーワードが、関数名・説明文・タグに含まれるものを検索

関数名アルファベット別

A	B	C	D	E	F	G	H	I	J
K	L	M	N	O	P	Q	R	S	T
U	V	W	X	Y	Z	_

最終更新一覧

●stristr
　大文字小文字を区別せず文字列を検索し、ヒット箇所以降（あるいは以前）の文字列を返却

●stripslashes
　バックスラッシュでエスケープされた文字列から、バックスラッシュを取り除く

●stripos
　大文字小文字を区別せずに文字列が最初に現れる位置を取得する

●stripcslashes
　addcslashes() でクォートされた文字列をアンクォートする

●strip_tags
　文字列から HTML と PHP のタグを除去して返却

●strcspn
　指定した文字が最初に現れる位置を調べる

●strcoll
　ロケールに基づいて2つの文字列を比較し同じか（あるいは大小）を判定する

●strcmp
　2つの文字列を比較し同じか（あるいは大小）を判定する

●strchr
　strstr() のエイリアス

●strcasecmp
　2つの文字列を比較（大文字小文字を区別せず同じとみなす）

カテゴリー一覧

PHP の振る舞いの変更
 音声フォーマットの操作
 認証サービス
 コマンドライン関連
 圧縮およびアーカイブ
 暗号
 データベース関連
 日付および時刻関連
 ファイルシステム
 自然言語および文字エンコーディング
 画像処理および作成
 メール関連
 数学
 テキスト以外の MIME 型
 プロセス制御
 その他の基本モジュール
 その他のサービス
 検索エンジン用の拡張モジュール
 サーバー固有のモジュール
 セッション関連
 テキスト処理
 変数・データ型関連
 ウェブサービス
 Windows 用のモジュール
 XML 操作
 GUI用の拡張モジュール