PHPのescapeshellcmdを巡る冒険

以前、ブログ記事「PHPのescapeshellcmdの危険性」にて、escapeshellcmd関数の「余計なお世話」によって危険性が生まれていることを指摘しましたが、その後大垣さんによって修正案が提示され、結局「それはマニュアルの間違い」ということで決着が着いたようです。ところが、この議論とは別のところで、escapeshellcmdはPHP5.4.0で挙動が少し変わっていることが分かりました。 経緯 2011/1/1 徳丸が「PHPのescapeshellcmdの危険性」を書いて、クォート文字がペアになっている場合にエスケープしないという仕様が余計なお世話であり、危険性が生じていることを指摘 2011/1/7 大垣さんがブログエントリ「phpのescapeshellcmdの余計なお世話を無くすパッチ」にて修正案を提示 2011/10/23 廣川さんが、大垣さんのパッチ案を少し修正して

[rryu]

変更を取り消す際の逆マージに失敗して cmd[y++] = str[x]; が実行されなくなったからですね。どう見てもバグというかなぜテストに引っかからない? http://bit.ly/HvbNNe

[ockeghem]

【注意】escapeshellcmdの仕様がPHP5.4.0で変わっています>結局バグということです

[sotarok]

削除されるとはｗ

[deamu]

せめて変更履歴に載せてくれればいいのにね。水面下でこっそり挙動を変えられるのは余計混乱するというか、怖いというか

[t-murachi]

相変わらずのネタの宝庫っぷりに貫禄すら覚えるな… ('A`)

[k-holy]

escapeshellcmdとescapeshellarg