使用$argc/$argv或getopt()传递参数,优先用getopt()处理结构化输入,通过escapeshellarg()、filter_var()等函数过滤参数,避免命令注入,限制键名,不硬编码密钥,输出帮助信息并记录日志,确保脚本安全与灵活。
在使用PHP命令行脚本时,传递变量参数是常见需求。通过合理的方式传参,可以让脚本更灵活、可复用。同时,处理这些参数时也必须注意安全性,防止命令注入或数据污染。
命令行参数的传递方式
PHP命令行脚本可通过argv和argc获取输入参数:
- $argc:表示参数个数(包含脚本名)
- $argv:索引数组,存储所有传入参数
例如执行命令:
php script.php name=John age=30在script.php中可以这样读取:
立即学习“PHP免费学习笔记(深入)”;
<?php
foreach ($argv as $arg) {
if (strpos($arg, '=') !== false) {
list($key, $value) = explode('=', $arg, 2);
$$key = $value; // 动态变量赋值
}
}
echo "Name: $name, Age: $age";
?>
也可以使用getopt()函数解析标准格式参数,如:
php script.php -u john -p 8080 --env=prod<?php
$options = getopt("u:p:", ["env:"]);
print_r($options);
?>
安全处理传入参数
用户输入不可信,必须进行过滤和验证:
- 避免直接将参数拼接到系统命令中,防止命令注入
- 使用escapeshellarg()或escapeshellcmd()对可能执行的命令进行转义
- 对数值型参数使用intval()、字符串使用filter_var()等函数过滤
- 限制允许的参数键名,避免动态变量覆盖关键变量
示例:安全执行外部命令
<?php
$filename = $argv[1] ?? '';
if (!$filename || !preg_match('/^[a-zA-Z0-9_-]+\.txt$/', $filename)) {
die("Invalid filename");
}
$escapedFile = escapeshellarg($filename);
exec("cat $escapedFile", $output);
echo implode("\n", $output);
?>
推荐的最佳实践
编写健壮的命令行脚本应遵循以下原则:
- 明确参数格式,在脚本开头输出帮助信息(如--help)
- 优先使用getopt()处理结构化参数
- 对敏感操作要求确认,尤其是涉及文件删除或系统修改时
- 日志记录参数使用情况,便于排查问题
- 不在代码中硬编码密码或密钥,可通过环境变量传入并做访问控制
基本上就这些。只要规范传参方式,并始终对输入做校验和转义,就能兼顾灵活性与安全性。
