我试着做我的研究,只有很多方法可以调用shell命令,还有更多方法可以删除有害字符,我将以*的形式获取专家的最佳建议.

我希望找到像我见过其他语言的东西,所以发送命令的参数实际上是通过一个函数传递的,比如：

do_command(“ls”,“ – l”,$Directory);

它将为您处理$Directory变量中的任何有害内容.我还没有用PHP发现这个.

这是我正在使用的代码：

<?php
    session_start();

    $AdminEmail = "random_email@gmail.com";
    $CatalogEmails = array("");
    $QuoteEmails = array("");
    $PartsEmails = array("");

    $Subject = $_SESSION['Email_Subject'];
    $Body = $_SESSION['Email_Body'];
    $Headers = $_SESSION['Email_Headers'];
    $Type = $_SESSION['Type'];

    msmtp($AdminEmail, $Subject, $Body, $Headers, "meyers");

    if ($Type == "Catalog") {
        foreach ($CatalogEmails as $AdditionalEmail) {
            msmtp($AdditionalEmail, $Subject, $Body, $Headers, "meyers");
        }
    } else if ($Type == "Quote") {
        foreach ($QuoteEmails as $AdditionalEmail) {
            msmtp($AdditionalEmail, $Subject, $Body, $Headers, "meyers");
        }
    } else if ($Type == "Parts") {
        foreach ($PartsEmails as $AdditionalEmail) {
            msmtp($AdditionalEmail, $Subject, $Body, $Headers, "meyers");
        }
    }

    function msmtp($To, $Subject, $Body, $Headers, $Account) {
        $Email = "To: $To\nSubject: $Subject\n$Headers\n\n$Body\n";
        exec("echo \"$Email\" | msmtp --account=$Account $To");
    }

    session_destroy();
?>

我知道有一个内置的PHP邮件功能,几乎可以解决这个问题,但我正在运行多个SMTP服务器,msmtp是我使用的程序,根据“帐户”发送电子邮件,电子邮件将在.在这种情况下,它将是“meyers”帐户.

所有会话变量都包含HTML(< br>< b>‘s等),其中也包含一些$_POST变量.我使用PHP 5.3所以没有神奇的引用.

我知道使用回声是一种可怕的方式,这就是我要进入*的原因.我的目标是,尽管他们向我投掷任何疯狂的角色,但电子邮件仍将通过.我知道shell / bash很挑剔 – 我认为它不仅仅是逃避双引号.

我尝试使用escapeshellcmd escapeshellarg和htmlentities,它们都逃脱太多或弄乱了电子邮件中的HTML.

解决方法:

将电子邮件内容写入文件,然后将文件内容重定向为msmtp命令的输入.

file_put_contents($tempfile,$Email);
exec("msmtp --account=$Account $To < $tempfile");