Discussion :

[funmatica]

Bonjour,

j'ai un script perl qui marche en ligne de commande que j'aimerais rendre exécutable via un script php.
en ligne de commande je lance le script comme ça :
perl script.pl fichier.doc
pour l'appel du script perl via php, j'ai d'abord fait un formulaire avec le bouton parcourir pour spécifier le fichier à traiter. pour le code en php pour l'instant j'ai ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
$fichier=$_GET['fichier']; 
echo $fichier;
exec ("../motPivot.pl < $fichier"
?>

le script perl génére un fichier de sortie, celui si je voudrais l'afficher sur la page web en html.

comment faire ???

merci !

[Tsilefy]

Est-ce que l'argument $output d'exec ne te convient pas? tu transformes ensuite le tableau en ce que tu veux. Sinon passes par shell_exec

J'espère que tu as de bonnes raisons pour directement injecter une variable venant de l'utilisateur comme ça dans ta commande. Ce que tu fais là est très dangereux, un attaquant peux prendre le controle de ton serveur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

script.php?fichier=fichier.doc;ls

Si vraiment tu n'as pas le choix, utilise au moins escapeshellarg ou escapeshellcmd pour neutraliser la variable.

[funmatica]

bonjour,

$output ne me donne rien !
merci pour tes conseils sur la sécurité. j'y connais rien sur ce sujet !
la ligne de code que tu as donné doit remplacer quelle autre ?
merci

[Tsilefy]

La ligne de code montre qu'un attaquant peut insérer arbitrairement des commandes dans ton script (dans ce cas, c'est la commande 'ls' pour afficher la liste des fichiers, mais ça peut être une autre commande pour supprimer les fichiers, ou prendre le contrôle du serveur, etc...). C'est pour montrer à quel point ton système est très vulnérable.

shell_exec devrait te permettre de récupérer le flux de sortie de ton script perl.