Sie müssen externe Daten in eine Kommandozeile einfügen, aber Sie wollen Sonderzeichen durch Escapezeichen entschärfen, so dass nichts Unvorhergesehenes passieren kann. Beispiel: Sie wollen Benutzereingaben als Kommandozeilen-Parameter an ein Programm übergeben.

Verwenden Sie dagegen escapeshellarg( ), wenn es sich um Kommandozeilenparameter handelt:

system('ls -al '.escapeshellarg($directory));

Verwenden Sie escapeshellcmd( ), wenn es sich um Programmnamen handelt:

system(escapeshellcmd($ls_program).' -al');

Die Kommandozeile ist ein gefährlicher Platz für ungefilterte Zeichen. Geben Sie nie unmodifizierte Benutzereingaben an eine Funktion von PHP durch, die ihre Parameter ...