PHP安全模式下的exec执行问题

今天同事遇到一个问题，在执行某个程序的时，将执行的命令写错了，发现程序依然可以执行，可是当把程序在终端运行时又显示此文件不存在。 于是最近一直沉迷于源码的我追踪了整个执行过程，得到如下答案。

以上的问题出现在安全模式开启的情况下。

按照PHP的源码结构，exec函数的实现应该在/ext/standard目录下，在此目录找到exec.c文件，exec函数的实现就在这里。如果不熟悉源码结构，可以考虑使用editplus全局搜索PHP_FUNCTION(exec)，当然，你也可以使用其它的工具。这只是一个查找的方式。重点是接下来我们要看的代码。

整个调用顺序如下：

[PHP_FUNCTION(exec) -> php_exec_ex -> php_exec]

/* {{{ php_exec
 * If type==0, only last line of output is returned (exec)
 * If type==1, all lines will be printed and last lined returned (system)
 * If type==2, all lines will be saved to given array (exec with &$array)
 * If type==3, output will be printed binary, no lines will be saved or returned (passthru)
 *
 */
PHPAPI int php_exec(int type, char *cmd, zval *array, zval *return_value TSRMLS_DC)
{
    ... //  省略
    if (PG(safe_mode)) {    //  安全模式
        if ((c = strchr(cmd, ' '))) {
            *c = '\0';
            c++;
        }
        if (strstr(cmd, "..")) {    //  不能在指向程序的路径中包含 .. 成分
            php_error_docref(NULL TSRMLS_CC, E_WARNING, "No '..' components allowed in path");
            goto err;
        }

        b = strrchr(cmd, PHP_DIR_SEPARATOR);    //  #define PHP_DIR_SEPARATOR '/'

         ... //  省略

        spprintf(&d, 0, "%s%s%s%s%s", PG(safe_mode_exec_dir), (b ? "" : "/"), (b ? b : cmd), (c ? " " : ""), (c ? c : ""));
        if (c) {
            *(c - 1) = ' ';
        }
        cmd_p = php_escape_shell_cmd(d);
        efree(d);
        d = cmd_p;
    } else {
        cmd_p = cmd;
    }
    ...//省略
}
/* }}} */

从上面的代码可以看出，PHP在实现exec函数时，安全模式下，会去掉命令中包含的所有路径，只留下需要执行的命令及其参数。 最后将这个命令与PG(safe_mode_exec_dir)连接起来作为需要执行的命令返回 。这也就是我们在安全模式下，对于需要执行的命令，即使路径是错的也可以正常执行的原因。