Блог

У меня есть файлы с допустимыми именами файлов. Если бы они не были допустимыми, их было бы невозможно сохранить в моей файловой системе. Windows. NTFS.

Например:

 E:videosHappy Fun Time!.mp4
  

Если я сделаю:

 if (file_exists('E:videosHappy Fun Time!.mp4'))
  

Затем PHP «видит» файл; он существует. Хорошо.

Однако, если я попытаюсь фактически использовать путь к файлу, например, отправив его в команде:

 shell_exec('test.exe --input=' . escapeshellarg('E:videosHappy Fun Time!.mp4'));
  

… затем test.exe получает / отправляется:

 test.exe --input="E:videosHappy Fun Time .mp4"
  

Она превратила «!» в пробел, что делает его более недействительным.

Я знаю, что они делают это по соображениям безопасности, и что правильное экранирование в Windows — это что-то вроде кошмара. Тем не менее, это все еще остается проблемой, поскольку я не могу ссылаться на какой-либо файл, содержащий «!» и, возможно, также другие допустимые символы.

При запуске такого рода вещей я обычно получаю «meh… на самом деле нам не хочется поддерживать реакцию разработчиков на вашу «странную ОС». Они действуют так, как будто Windows — это какой-то непонятный дистрибутив Linux, а не настольная ОС № 1 в мире. Даже если вы думаете, что это отстой, с чем я полностью согласен, кстати, разве задача кодирования не «забавна» в некотором роде для умных программистов? Довольно неприятно, когда люди ведут себя так, как будто PHP и другое программное обеспечение кроссплатформенны, когда на самом деле это «Linux-first, и, возможно, какая-нибудь полуфабрикатная поддержка Windows, если у нас есть время и хочется». (Но я остановлюсь на этом, опасаясь пометки «rant».)

В комментариях пользователей к руководству по PHP предлагаются различные безумные решения, как это обычно бывает. Я действительно не чувствую себя комфортно, используя любую из них, как по соображениям безопасности, так и потому, что просто странно полагаться на какой-то комментарий, отправленный пользователем много лет назад, вместо реальной функции PHP для выполнения этой критической задачи экранирования / защиты аргументов / путей терминала.

Как может быть, что file_exists может безопасно проверять ее существование, даже с помощью «!»? file_exist Есть ли какой-то внутренний код, который безопасно и корректно проверяет все допустимые имена файлов, тогда как escapeshellarg() по какой-то причине этого не хватает? Или file_exist «запрашивает ОС» или «запрашивает файловую систему» каким-либо встроенным способом, который полностью обходит необходимость обрабатывать экранирование строки пути к файлу?

Я не знаю, что теперь делать. Какой-то парень ссылался на исходный код ReactOS, но это не PHP, и если это такое отличное решение, почему это не было включено в сам PHP? Я не понимаю, почему так много функций PHP никогда не обновляются / не улучшаются или не добавляются новые улучшенные, вместо того, чтобы каждый отдельный «PHPhant» (так я называю себя и других пользователей PHP) пытался собрать воедино свое собственное решение для таких важных и распространенных задач?