PHP 执行 shell 有哪些潜在风险？

escapeshellarg + esacepshellcmd

用 inotify 监控文件更新，符合条件就重启服务好了。

@gouchaoer 感谢提供的思路，这个方案似乎可行。

@xiaoz 把那个配置文件的 group 改成运行 php 的 group, 权限改成 0664 。然后另外用 inotify 监视文件，重启服务就好了。不需要给 php 用户 sudo 权限。

@gouchaoer 这个方案不错

@xiaoz 另一个思路：写一个 setuid 程序专门去执行重启服务的操作，这样就不需要 sudo 了

@gouchaoer 您看我这样的思路可行吗？
写一个 1.php 文件去检测 abc.json 文件是否更新，如果有更新的话，就通过 system()函数去重启服务，这个 php 文件不对外访问。然后 crontab 使用 php-cli 每隔 5 分钟执行 1.php

@xiaoz 然后你发现一堆僵尸进程，我试过

我就在微信公众号上直接用 php 执行 shell 了,没啥问题

1 、如果你执行 system(sprint_f("rm -rf %s", $_GET['path'])) 肯定是存在安全隐患的，类似 SQL 注入一样
2 、如果你执行 system('/sbin/service restart nginx') 那一般不会有安全问题的，但是一般情况下你 PHP 肯定执行在非 root 用户下面吧，所以其实这个根本执行不了，所以你要加上 sudo ，然后把这条命令加到 sudo 的白名单就好了。千万不要把 php 所在的整个用户加到白名单！

@moult #30 的 sprint_f 改成 sprintf 。。不小心按到了下划线。

@falcon05 这个思路有什么不妥吗？

@xiaoz 按照你这思路的话，根本不需要用到 php ， shell+cron 就能搞定了，而且还简单

以前写过个类似的，不过脚本在老家的移动硬盘上…

https://linux.die.net/man/1/inotifywait

Example 2

A short shell script to efficiently wait for httpd-related log messages and do something appropriate.
#!/bin/sh
while inotifywait -e modify /var/log/messages; do
if tail -n1 /var/log/messages | grep httpd; then
kdialog --msgbox "Apache needs love!"
fi
done
参考这例子写一个就 OK 了