Laravel命令注入防御技巧分享

Laravel框架本身不执行系统命令，因此不内置命令注入防护，真正的风险仅出现在开发者主动调用exec、shell_exec等PHP危险函数时——而一旦引入外部命令（如图像处理、PDF生成），危害远超SQL注入；文章直击常见误区，指出Laravel的validate()、$casts、Blade转义和Query Builder绑定对命令注入完全无效，强调防御必须二选一：要么严格基于白名单控制可执行动作并配合escapeshellarg()安全填充参数，要么彻底弃用shell、改用Imagick、TCPDF等原生PHP扩展；同时提醒Artisan命令、队列任务、定时器等非Web入口同样高危，任何接收外部输入的系统调用都需统一按此标准严防死守。

Laravel 本身不提供命令注入（Command Injection）的自动防护，因为框架默认不会执行系统命令；只要你不调用 exec、shell_exec、system、passthru 或 proc_open 这类 PHP 系统函数，就不存在命令注入风险。但一旦业务需要调用外部命令（比如生成 PDF、处理图像、调用 Python 脚本），风险立刻出现——且比 SQL 注入更直接、危害更大。

为什么 validate() 和 $casts 对命令注入完全无效

很多人误以为 Laravel 的请求验证或模型类型转换能拦住命令注入，其实不能。这些机制只作用于 PHP 变量值，而命令注入发生在把用户输入拼进 shell 字符串时。哪怕 $request->validated()['filename'] 是整数，只要最终拼成 "convert {$filename} output.pdf"，攻击者传入 input.jpg; rm -rf / 就会触发命令串联。

• validate() 只校验数据格式，不阻止字符串拼接后被 shell 解析
• $casts = ['id' => 'int'] 在赋值时转类型，但若你手动 (string) $id 再拼进命令，照样失效
• Blade 的 {{ }} 转义、Query Builder 的参数绑定，对 shell_exec 完全不生效

真正安全的命令执行只有两种方式

必须二选一，没有中间路线。任何“部分过滤”“黑名单关键词”都不可靠。

• 用白名单限定可执行动作：不拼参数，只从预设列表中选命令。例如：
  $allowedActions = ['resize', 'rotate', 'grayscale'];
  用户只能传 action=resize，后端查表映射到固定命令模板 convert %s -resize 50% %s，再用 escapeshellarg() 填入文件路径
• 彻底不用 shell，改用原生 PHP 或扩展：比如用 Imagick 扩展替代 convert 命令，用 tcpdf 或 dompdf 替代 wkhtmltopdf；这些库不经过 shell，自然规避注入

escapeshellarg() 不是银弹，它只解决单个参数

escapeshellarg() 能防止参数逃逸，但无法防御整个命令结构被篡改。常见错误：

• ❌ 错误用法：shell_exec("ls " . escapeshellarg($dir) . " | grep " . escapeshellarg($pattern))
  管道符 | 是 shell 元字符，escapeshellarg() 不处理它——攻击者传 $dir = '/tmp; cat /etc/passwd' 仍会执行额外命令
• ✅ 正确做法：拆成两个独立步骤，或改用 glob() + PHP 字符串匹配代替 ls | grep
• ⚠️ 注意：escapeshellarg() 对 Windows 的 cmd.exe 支持有限，生产环境建议统一 Linux + bash，并禁用 safe_mode（已废弃）和 disable_functions 中未禁用的危险函数

Artisan 命令里也得防，别信 “只是后台用”

自定义 Artisan 命令（php artisan my:task）如果接受用户可控输入（比如通过 $this->argument('path') 或配置文件读取），同样可能触发命令注入。尤其当命令内部调用 shell_exec 时：

• 不要在 handle() 方法里直接拼接参数进 shell 命令
• 若必须传参，先用 is_dir()、file_exists() 校验路径合法性，再用 escapeshellarg() 包裹，最后只允许绝对路径白名单前缀（如 /var/www/storage/）
• 避免从 .env 或数据库读取命令片段——这些地方也可能被污染

最常被忽略的一点：命令注入不依赖 Web 请求入口。队列任务、定时任务（Schedule）、甚至日志分析脚本，只要涉及 exec 类函数并接收外部输入，就得按同样标准防御。别假设“没人能调用这个命令”，权限控制和输入净化是两层事。

以上就是《Laravel命令注入防御技巧分享》的详细内容，更多关于的资料请关注golang学习网公众号！