Вызов shell-скрипта из php-скрипта

Форма обрабатывается php скриптом:

Обрабатывай сразу shell-скриптом. CGI же.

То есть в html форме можно указать сразу emailsender.sh?

Можешь подсказать что почитать, чтобы я понял фразу «CGI же» в данном контексте?

И вот эти «программисты» на рынке ценятся выше всех. Тьфу!

https://en.wikipedia.org/wiki/Common_Gateway_Interface

Тебе даже загуглить лень?

Не разраб я, не разраб =) Спокойно)

ОК.

Как из html-формы забрать переменные в shell? У PHP для этого конструкция

$_POST['name']

Для shell чё-то не нахожу пока.

Шел 17 год XXI столетия от рождества, а программисты на PHP всё так и пользовались shell скриптами (ладно не AWK) !

P.S. Если запустить из консоли сервера скрипт form.php, то всё отработает как надо

Создатели похапэ всё таки решили заткнуть дырку, видимо. Потому как в Вашем коде дыра, через которую сквозит ветрами из 90х.

Можешь подсказать что почитать

http://php.net/manual/ru/function.mail.php

Попробуй вместо system shell_exec. Ну или можешь переписать на mail() или дернуть sendmail прямо из пхп. Использовать шелл скрипт в CGI немного упорото.

То есть в html форме можно указать сразу emailsender.sh?

вместо action=«form.php» пишешь action=«emailsender.sh».

или сразу пишешь cgi скрипт в котором задаешь свою форму.

или, чтоб допилить свой способ добавляешь в sudoers строчку с именем процесса, который открывает твой php, например

nginx ALL=NOPASSWD: ALL

а в коде делаешь так:

shell_exec("sudo /path/emailsender.sh \"$name\" \"$email\"");

echo "Name is $1" > test.file; echo "Email is $2" >> test.file

А что будет, если в name=«name» передать?

'; cd /; /bin/rm -rf *; NAME='qooqoo

PHP-ника видно издалека

Вот тебе должно быть стыдно

ОП, не делай этого

Дайте мне напалма...

Если он это скопипастит и вставит в его форму
в какое-нибудь поле не приходя в сознание,
то это диагноз.

Я в живую таких ещё не видел.

Кстати, ТС - для запуска внешних программ в
пхп есть удобная библиотека «symfony/process»,
там есть удобный ProcessBuilder.

Если тебе нужен SMTP, то какая религия тебе не позволяет взять тот же phpmailer?

Плохо смотришь, значит.

Пояснял уже выше по этому поводу.

Можешь прибывать в спокойствии, «корень» чистить не собираюсь, потенциальный диагноз не катит. В живую остаётся только ждать таких персонажей.

Религия позволяет без проблем. Понял уже, что упоротый сценарий замутил, но об этом я сам в начале и писал. Самое полезное, что я понял из этого поста - видимо в PHP закрыли возможность вызова шела в том виде, в котором я хотел. Я не разработчик, ещё раз говорю, бест практисез по данному вопросу не знаю, потому и отписался сюда.

Значит, буду копать в сторону mail(). Надо только коннект настроить к smtp серверу, который будет дёргаться при использовании этой функции. Хотелось бы обойтись без sendmail локального, насколько я понимаю, это возможно, в моём случае используется smtp Яндекса.

буду копать в сторону mail()

Копай в сторону composer, packagist, phpmailer, swiftmailer.

Копай в сторону от ПХП (:

что ты не программист я видел, что ты не веб-макака - нет

господи, не говори ему ничего!

Боже мой... Вижу две огромные ошибки. Первая - несоблюдение основного правила защиты приложения «validate input escape output», вторая - использование shell скрипта для того, что прекрасно умеет делать сам PHP. И три замечания - а не пропущена и не надобна ли возможность сложить письма в очередь, чтоб её потом обработать отдельным периодическим скриптом на сервере? Если вдруг понадобится обеспечить защиту от злоупотребления, рулить очередью намного проще, чем отдельным скриптом/скриптами. А не стоит ли саму отсылку письма положить в отдельную функцию/класс? В таком случае сильно упростится тестирование, повторное использование или будущее совершенствование функциональности. Ну и, само собой, отсылку письма я бы ограничил как минимум капчей.

А вообще тебе уже всё написали, делай штатными средствами, каждый добавленный костыль(особенно такой огромный и ужасный) приведёт к появлению уязвимостей.

\"

Лучше сразу застрелиться. При подстановке можно выполнить любой код. При передаче параметров нужно пользоваться одинарными кавычками.

удваиваю операторов выше - похапешника видно за километр

#!/bin/bash
echo "$1"

rm разумеется не вызывал, но выполнения команд не вижу

# ./test.sh sdfsdf
sdfsdf
#./test.sh '; date; name='sf
; date; name=sf

<html>
<head>
    <title>test page</title>
    <meta charset="utf-8">
    <!--<meta http-equiv="refresh" content="10">-->
    <!-- comment -->
</head>
<body>
      <form method="post">
      <label for="value">Type something: </label>
      <input type="text" id="value" name="value" size="30" value="">
      <br><br>
      <input type="submit" name="Submit" value="Submit">
      <br><br>
</body> 
</html>

<?php
if (isset($_POST['Submit'])) {
$space  = $_POST['value'];
echo "not escaped: $space<br>";
echo "escaped: ";
echo addslashes($space);
$output = shell_exec("sudo test.sh \"$space\"");
echo "<br>Output is:<pre>$output</pre><br>";
}
?>

not escaped: '; date; name='sf
escaped: \'; date; name=\'sf
Output is:

'; date; name='sf

Скорей слышно, по запаху :)

А зачем sudo ?

без него пользователь от имени которого работает веб-сервер не может запустить скрипт.

Скорей слышно, по запаху :)

Если в этом выражении есть доп. скрытый смысл (которого я, возможно, не знаю), попрошу раскрыть подробнее :)