OSコマンドインジェクション対策（サニタイズ）

OSコマンドインジェクション対策（サニタイズ） | itcore 2019年

画面から入力したデータをOSコマンドの引数に渡すのはセキュリティ上リスクが高い。
やむをえず渡す場合は、あぶなそうな記号を全角に変換する仕様の範囲で行うと良い。

記号のサニタイズ

$data = uForm("data");
$data = uSanitizeKigou($data);
$ret = shell_exec("ls $data");