python--杂识--9.1--subproess调用shell命令的安全性

已于 2024-04-10 21:58:48 修改
阅读量934 收藏 2
点赞数
分类专栏: python 文章标签: python shell=True shell=False
于 2022-05-23 11:53:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chasing__dreams/article/details/124923033
版权

1 shell=True

shell=True参数会让subprocess.check_call接受字符串类型的变量作为命令,并调用shell去执行这个字符串。

import subprocess

cmdline = "ls -l; ls -l"
subprocess.check_call(cmdline, shell=True)

"""
执行结果:
[root@Chasing-Dreams test]# python test.py
total 4
-rw-r--r-- 1 root root 129 May 23 10:50 test.py
total 4
-rw-r--r-- 1 root root 129 May 23 10:50 test.py
"""

2 shell=False

shell=False参数subprocess.check_call只接受数组变量作为命令,并将数组的第一个元素作为命令,剩下的全部作为该命令的参数。也就是说shell=False参数时subprocess.check_call只接收一条命令。

import subprocess
import shlex

cmdline = "ls -l; ls -l"
cmd = shlex.split(cmdline)
subprocess.check_call(cmdline, shell=True)

"""
执行结果:
[root@Chasing-Dreams test]# python test.py
ls: invalid option -- ';'
Try 'ls --help' for more information.
Traceback (most recent call last):
  File "/root/test/test.py", line 8, in <module>
    subprocess.check_call(cmd, shell=False)
  File "/opt/anaconda3/lib/python3.9/subprocess.py", line 373, in check_call
    raise CalledProcessError(retcode, cmd)
subprocess.CalledProcessError: Command '['ls', '-l;', 'ls', '-l']' returned non-zero exit status 2.
"""

其实如果cmdline = "ls -l;",执行结果也会报错,因为-l;并不是ls的参数,-l才是ls的参数。

3 安全性

【1】当命令是通过用户从前端页面输入获得的,shell=True是不安全的,shell=False相对安全的,都有shell注入风险。
【2】当命令是程序员自己写的并不是通过用户从前端页面输入获得的,shell=True 与 shell=False都是安全的,不存在shell注入。除非程序员自己写的命令有问题。

3.1 为什么说shell=True不安全

比如要执行cat命令,需要用户输入cat的参数文件名,正常情况用户输入file.txt

user_input = "file.txt"
cmdline = "cat " + user_input 
subprocess.check_call(cmdline, shell=True)

异常情况用户输入file.txt; rm -rf /,此时代码后将会删除根目录,导致服务器宕机

user_input = "file.txt; rm -rf /"
cmdline = "cat " + user_input 
subprocess.check_call(cmdline, shell=True)

3.2 为什么说shell=False相对安全

比如要执行cat命令,需要用户输入cat的参数文件名,正常情况用户输入file.txt

user_input = "file.txt"
cmdline = "cat " + user_input 
cmd = shlex.split(cmdline)
subprocess.check_call(cmd, shell=False)

异常情况用户输入file.txt; rm -rf /,代码将不会正常执行,执行代码会报错,因为cat参数为"file.txt;“、“rm”、”-rf"、“/”,
"file.txt;"是cat的异常参数。

user_input = "file.txt; rm -rf /"
cmdline = "cat " + user_input
cmd = shlex.split(cmdline)
subprocess.check_call(cmd, shell=False)

既然说相对安全,那肯定也有不安全的情况
当整条命令都是通过用户从前端页面输入获取到的时候也会存在shell命令注入问题,比如

user_input = "rm -rf /"
cmdline = user_input
cmd = shelex.split(cmdline)
subprocess.check_call(cmd, shell=False)

以上命令也可以正常执行,会删掉根目录,导致服务器宕机。

Chasing__Dreams
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python 调用shell 不阻塞_遇到问题---python调用shell脚本时subprocess.check_call不阻塞
weixin_39752941的博客
12-21 1331
遇到的问题使用命令subprocess.check_call(cmd, shell=True, stdout=subprocess.PIPE, stderr=subprocess.STDOUT)在ubuntu系统中python中使用subprocess.check_call调用shell命令。发现subprocess.check_call的阻塞无效,导致下面的命令缺失信息。但是同样的代码在cent...
java(java入门基础)
09-25
此外,静态变量也可用于声明静态方法,这些方法不依赖于类的实例,可以直接调用,如`Math.random()`。 进一步探讨,Java试题可能会涵盖静态变量的使用场景和限制。比如,静态变量在多线程环境下需要注意同步问题,...
subprocess中shell=False时执行多条命令
Achilles的博客
06-16 5604
直接上代码: import shlex import subprocess from subprocess import PIPE def multiple_cmd_exec(cmds): print("Enter multiple_cmd_exec") process_list = [] try: for index, cmd in enumerate(cmds): if index == 0: _p = subprocess.Popen(cmd, stdout=subpro
python 清理 subprocess 的子进程 使用了参数 shell=True
最新发布
u014686778的博客
05-23 217
【代码】python 清理 subprocess 的子进程(当 shell=True 时)
python3:subprocess.run shell=True踩坑记录
shi_ku_shui的博客
03-13 1182
跟着菜鸟教程打的 subprocess.run(["ls","/home"],shell=True,encoding="utf-8",timeout=1) 结果一直输出当前目录下 执行ls的结果 实际上应该把指令放在一个引号内 subprocess.run(["ls /home"],shell=True,encoding="utf-8",timeout=1) ...
python subprocess参数shell=True踩到的坑
le31ei的博客
01-02 1万+
0x01 问题现象写的程序使用subprocess创建子进程运行其他程序,判断其他程序运行完后进行处理。 在subprocess使用了shell=True,判断用户程序退出的代码如下while self.proc.poll() is None: do_something判断子进程是否运行结束,程序在子进程运行结束后,代码未向下继续运行,而是卡在了这个循环中。0x02 原因分析百度后对she
python中 subprocess shell=False 与shell=True的区别
热门推荐
xiaoyaozizai017的博客
05-28 3万+
shell=True参数会让subprocess.call接受字符串类型的变量作为命令,并调用shell去执行这个字符串,当shell=False是,subprocess.call只接受数组变量作为命令,并将数组的第一个元素作为命令,剩下的全部作为该命令的参数。 举个例子来说明: from subprocess import call import shlex cmd = "cat
python之subprocess模块
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
11-29 3664
Subprocess是一个功能强大的子进程管理模块,可以像Linux 系统中执行shell命令那样fork一个子进程执行外部的命令,subprocess 模块允许我们启动一个新进程,并连接到它们的输入/输出/错误管道,从而获取返回值。可以创建一个Popen类来创建进程和进行复的交互。使用subprocess模块的目的是用于替换os.system等一些旧的模块和方法。执行指定的命令,父进程等待子进程完成,并且返回子进程执行的结果 0/1。后,主进程会等待子进程结束再执行下面的语句。首先推荐使用run方法。
2017秋鄂教版语文八年级上册第14课《怀疑与学问》ppt课件
11-23
- **代表作**:《古史辨》、《汉代学术史略》、《史林初编》等。 #### 四、中心论点及论据分析 - **中心论点**:治学必须有怀疑的精神。 - **分论点**: - 怀疑是从消极方面辨伪去妄的步骤。 - 怀疑是从积极...
18.《怀疑与学问》精品课件
11-19
主要著作包括《古史辨》、《汉代学术史略》和《史林初编》等。 #### 二、文章主要内容概述 《怀疑与学问》这篇文章主要探讨了怀疑精神在学术研究中的重要作用。作者通过列举一系列历史上著名的例子,如伽利略...
河北省唐山十八年级语文 第六单元 二八 观潮学案(无答案) 人教新课标版 学案.doc
10-26
周密,字公瑾,号草窗,祖籍山东济南,生活在南宋末年,是当时著名的词人,著有《武林旧事》、《齐东野语》、《癸辛》、《草窗韵语》等作品。 2. **《武林旧事》背景**:《武林旧事》是周密在南宋灭亡后,对...
Python编程:subprocess执行命令命令
彭世瑜的博客
01-12 1万+
函数 说明 os.system(command) 返回状态码,执行结果输出到屏幕 os.popen(command).read() 返回执行结果,没有状态码 - - subprocess.run() Python 3.5中新增的函数。执行指定的命令,等待命令执行完成后返回一个包含执行结果的CompletedProcess类的实例 subprocess.call() ...
Python 使用subprocess调用系统命令方法及示例代码
亮亮的专栏
08-23 208
本文主要介绍Python中,使用subprocess模块调用系统命令方法,和subprocess对比os.system()的优势,以及相关示例代码。 原文地址:Python 使用subprocess调用系统命令方法及示例代码
python-12-调用Shell命令和获取命令行参数subprocess
qq_20466211的博客
10-20 2521
os模块的popen方法 当需要得到外部程序的输出结果时,本方法非常有用,返回一个类文件对象,调用该对象的read()或readlines()方法可以读取输出内容。 os.popen(cmd) 要得到命令的输出内容,只需再调用下read()或readlines()等 如a=os.popen(cmd).read() 文件test.py import sys x = sys.stdin for line in x: print("receive",line) 文件main.py import os a
python中 subprocess shell=False 与shell=True的区别 | pyinstaller报错urllib3.packages.six.moves pre-safe-imp
akatale的博客
07-06 883
pyinstaller报错urllib3.packages.six.moves pre-safe-import-module hook failed, needs fixing. python中 subprocess shell=False 与shell=True的区别
python调用shell脚本的参数_使用python执行shell脚本 并动态传参 及subprocess的使用详解
weixin_39908985的博客
11-30 379
使用python执行shell脚本 并动态传参 及subprocess的使用详解
Python subprocess模块call&check_call
YMY_mine的博客
06-22 9185
subprocess.call(args, *, stdin= None, stdout = None, stderr = None, shell = False) 运行由args参数提供的命令,等待命令执行结束并返回返回码。 args参数由字符串形式提供且有多个命令参数时,需要提供shell=True参数: res = subprocess.call('ls') print 'res:', res res = subprocess.call('ls -l', shell = True) prin.
Python之子进程subprocess模块
ZONGXP的博客
06-24 2387
参考:https://www.cnblogs.com/breezey/p/6673901.html 1 背景 在用python编程时,我们经常会需要调用外部命令,比如用ffmpeg将rtsp码流保存为mp4视频,我们可以在终端使用如下指令 ffmpeg -rtsp_transport tcp -i rtsp://***/h264/ch1/main/av_stream -c copy -f ...
check_call是怎么使用的?
m0_57236802的博客
06-16 870
这个函数会运行参数中指定的命令,如果命令执行成功(返回0),那么函数就会正常返回。如果命令执行失败(返回非0),那么函数就会抛出一个。会把整个字符串 “ls -l” 当作命令的名称,而不会把它分解成命令名 “ls” 和参数 “-l”,所以这会导致找不到命令的错误。注意,这里的命令名称和参数必须是字符串,并且必须分开放入列表中。可以确保用来运行命令的Python解释器和运行当前脚本的解释器是同一个。命令的名称和参数都被放在一个列表中,作为。中的一个方法,用于在新的进程中运行命令。是Python解释器的路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值