Самый безопасный способ запустить скрипт удара с помощью PHP-FPM

Что касается конкретной темы использования exec в php и того, как быть в безопасности, единственное, о чем вам нужно позаботиться, - это избегать аргументов.

т.е. не сделайте следующее:

exec('myscript ' . $_POST['arg']);

если это не очевидно - просто подумайте, что произойдет, если $ _ POST ['arg'] содержит ; rm xyz - или хуже, если вы отправляете вывод этой команды на экран, и он содержит ; подробнее / etc / passwd; больше db-config.php и т. д.

поэтому - экранируйте ваши аргументы :

$foo = escapeshellarg($whatever);
exec("myscript $foo");

Однако, если ваш сценарий bash требует больше привилегий, чем вы обычно разрешаете иметь своему пользователю nginx - вы лучше прислушаться к найденному вами совету, который отделяет пользователя, выполняющего ваш сценарий bash, от пользователя nginx.

Подобно вашему предложению демона php в вопросе, приложение php отправляет запрос для выполнения сценария bash, синхронно или асинхронно, с использованием системы job queue . Очередь заданий просто отправляет запрос вашему сценарию bash, при необходимости возвращая результат. Таким образом, вы можете запустить bash-скрипт «создать нового пользователя» от имени пользователя с соответствующими разрешениями, не предоставляя вашему пользователю nginx никаких дополнительных привилегий и не рискуя использовать эти разрешения где-то еще, если код вашего php-приложения. В частности, Gearman очень прост в настройке.

bash как пользователь с соответствующими разрешениями, не предоставляя вашему пользователю nginx никаких дополнительных привилегий и не рискуя использовать эти разрешения где-то еще, если ваш код приложения php. В частности, Gearman очень прост в настройке.

bash как пользователь с соответствующими разрешениями, не предоставляя вашему пользователю nginx никаких дополнительных привилегий и не рискуя использовать эти разрешения где-то еще, если ваш код приложения php. В частности, Gearman очень прост в настройке.