Попытка безопасного использования функции c exe PHP для запуска сценария python на сервере

Question

Ссылаясь на комментарий от кого-то по вопросу здесь :

Хотя можно сделать команды сценария безопасными, распространенным вектором атаки является загрузка вредоносного сценария. и использовать exe c и аналогичные функции для взлома сервера. Таким образом, многие среды общего хостинга отключают эту и любую другую функцию, которая может запускать аргумент оболочки.

Это правда? Не рискует ли мой сервер подвергнуться атаке только потому, что я разрешаю сценариям php запускать метод exec()?

Что я могу сделать, чтобы не дать хакерам загрузить файлы на мой сервер? Или есть какие-то другие контрмеры, которые позволяют мне безопасно использовать метод exe c?

Answer 1

Пока у вас нет метода, позволяющего пользователям загружать файлы, у вас все будет в порядке.

Способ, которым хакеры могут это сделать, - это загрузка файла. php с вредоносным exec(), затем откройте файл через веб-браузер, выполнив код PHP в файле вместе с методом exec().