python运行电脑要求,Python初学者请注意！别这样直接运行python命令，否则电脑等于“...

Python初学者请注意！别这样直接运行python命令，否则电脑等于“

Python初学者请注意！别这样直接运行python命令，否则电脑等于“裸奔”

点击上方“编程派”，选择设为“设为星标”

优质文章，第一时间送达！

Python已经成为全球最受欢迎的编程语言之一。原因当然是Python简明易用的脚本语法，只需把一段程序放入.py文件中，就能快速运行。

而且Python语言很容易上手模块。比如你编写了一个模块my_lib.py，只需在调用这个模块的程序中加入一行import my_lib即可。

这样设计的好处是，初学者能够非常方便地执行命令。但是对攻击者来说，这等于是为恶意程序大开后门。

尤其是一些初学者将网上的Python软件包、代码下载的到本地~/Downloads文件夹后，就直接在此路径下运行python命令，这样做会给电脑带来极大的隐患。

为何这样做会有危险？首先，我们要了解Python程序安全运行需要满足的三个条件：

系统路径上的每个条目都处于安全的位置；

“主脚本”所在的目录始终位于系统路径中；

若python命令使用-c和-m选项，调用程序的目录也必须是安全的。

如果你运行的是正确安装的Python，那么Python安装目录和virtualenv之外唯一会自动添加到系统路径的位置，就是当前主程序的安装目录。

这就是安全隐患的来源，下面用一个实例告诉你为什么。

如果你把pip安装在/usr/bin文件夹下，并运行pip命令。由于/usr/bin是系统路径，因此这是一个非常安全的地方。

但是，有些人并不喜欢直接使用pip，而是更喜欢调用/path/to/python -m pip。

这样做的好处是可以避免环境变量$PATH设置的复杂性，而且对于Windows用户来说，也可以避免处理安装各种exe脚本和文档。

所以问题就来了，如果你的下载文件中有一个叫做pip.py的文件，那么你将它将取代系统自带的pip，接管你的程序。

比如你不是从PyPI，而是直接从网上直接下载了一个Python wheel文件。你很自然地输入以下命令来安装它：

~$ cd Downloads

~/Downloads$ python -m pip install ./totally-legit-package.whl

这似乎是一件很合理的事情。但你不知道的是，这么操作很有可能访问带有XSS JavaScript的站点，并将带有恶意软件的的pip.py到下载文件夹中。

下面是一个恶意攻击软件的演示实例：

~$ mkdir attacker_dir

~$ cd attacker_dir

~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py

~/attacker_dir$ python -m pip install requests

lol ur pwnt

看到了吗？这段代码生成了一个pip.py，并且代替系统的pip接管了程序。

前面已经说过，Python只会调用系统路径、virtualenv虚拟环境路径以及当前主程序路径

你也许会说，那我手动设置一下 $PYTHONPATH环境变量，不把当前目录放在环境变量里，这样不就安全了吗？

非也！不幸的是，你可能会遭遇另一种攻击方式。下面让我们模拟一个“脆弱的”Python程序：

# tool.py

try:

import optional_extra

except ImportError:

print("extra not found, that's fine")

然后创建2个目录：install_dir和attacker_dir。将上面的程序放在install_dir中。然后cd attacker_dir将复杂的恶意软件放在这里，并把它的名字改成tool.py调用的optional_extra模块：

# optional_extra.py

print("lol ur pwnt")

我们运行一下它：

~/attacker_dir$ python ../install_dir/tool.py

extra not found, that's fine

到这里还很好，没有出现任何问题。

但是这个习惯用法有一个严重的缺陷：第一次调用它时，如果$PYTHONPATH以前是空的或者未设置，那么它会包含一个空字符串，该字符串被解析为当前目录。

让我们再尝试一下：

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";

~/attacker_dir$ python ../install_dir/tool.py

lol ur pwnt

看到了吗？恶意脚本接管了程序。

为了安全起见，你可能会认为，清空$PYTHONPATH总该没问题了吧？Naive！还是不安全！

~/attacker_dir$ export PYTHONPATH="";

~/attacker_dir$ python ../install_dir/tool.py

lol ur pwnt

这里发生的事情是，$PYTHONPATH变成空的了，这和unset是不一样的。

因为在Python里，os.environ.get(“PYTHONPATH”) == “”和os.environ.get(“PYTHONPATH”) == None是不一样的。

如果要确保$PYTHONPATH已从shell中清除，则需要使用unset命令处理一遍，然后就正常了。

设置$PYTHONPATH曾经是设置Python开发环境的最常用方法。但你以后最好别再用它了，virtualenv可以更好地满足开发者需求。如果你过去设置了一个$PYTHONPATH，现在是很好的机会，把它删除了吧。

如果你确实需要在shell中使用PYTHONPATH，请用以下方法：

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中，$PYTHONPATH变量的值会变成：

$ echo "${PYTHONPATH}"

new_entry_1:new_entry_2

如此便保证了环境变量$PYTHONPATH中没有空格和多余的冒号。

如果你仍在使用$PYTHONPATH，请确保始终使用绝对路径！

另外，在下载文件夹中直接运行Jupyter Notebook也是一样危险的，比如jupyter notebook ~/Downloads/anything.ipynb也有可能将恶意程序引入到代码中。

最后总结一下要点。

如果要在下载文件夹~/Downloads中使用Python编写的工具，请养成良好习惯，使用pip所在路径/path/to/venv/bin/pip，而不是输入/path/to/venv/bin/python -m pip。

避免将~/Downloads作为当前工作目录，并在启动之前将要使用的任何软件移至更合适的位置。

了解Python从何处获取执行代码非常重要。赋予其他人执行任意Python命令的能力等同于赋予他对你电脑的完全控制权！

希望以上文字对初学Python的你有所帮助。

原文链接：https://glyph.twistedmatrix.com/2020/08/never-run-python-in-your-downloads-folder.html

量子位 报道 | 公众号 QbitAI

— 完 —

回复下方「关键词」，获取优质资源

回复关键词「 pybook03」，立即获取主页君与小伙伴一起翻译的《Think Python 2e》电子版

回复关键词「入门资料」，立即获取主页君整理的 10 本 Python 入门书的电子版

回复关键词「m」，立即获取Python精选优质文章合集

回复关键词「book 数字」，将数字替换成 0 及以上数字，有惊喜好礼哦~

题图：pexels，CC0 授权。

Python初学者请注意！别这样直接运行python命令，否则电脑等于“相关教程

每日一课 | python烤地瓜案例

每日一课 | python烤地瓜案例 他们说，计算机编程世界只有两个困难的挑战： 同步分布式三级和四级缓存的失效； 用什么来命名事物。 考虑到我在使用较旧的Firefox浏览器，浏览Internet时遇到的问题数量众多，看来在URL命名约定方面，第二个问题仍然比第一个问

用python提供的AES算法实现消息的加解密

用python提供的AES算法实现消息的加解密 import stringimport randomfrom Crypto.Cipher import AES#假如没有这个包，记得自己安装哦#生成指定长度的密钥def keyGenerater(length): if length not in (16,24,32): return None x=string.ascii_letters+string.

Python实现语音识别和语音合成

Python实现语音识别和语音合成 声音的本质是震动，震动的本质是位移关于时间的函数，波形文件(.wav)中记录了不同采样时刻的位移。 通过傅里叶变换，可以将时间域的声音函数分解为一系列不同频率的正弦函数的叠加，通过频率谱线的特殊分布，建立音频内容和文本

【136】Python 自动化测试面试题目汇总(一)

【136】Python 自动化测试面试题目汇总(一) 内容目录(原文见公众号python宝) 1、super 是干嘛用的？在 Python2 和 Python3 使用，有什么区别？为什么要使用 super？请举例说明。 super 用于继承父类的方法、属性。 super 是新式类中才有的，所以 Python2

Python 列表去重的4种方式及性能对比

Python 列表去重的4种方式及性能对比 列表去重是Python中一种常见的处理方式，任何编程场景都可能会遇到需要列表去重的情况。 列表去重的方式有很多，本文将一一讲解他们，并进行性能的对比。 让我们先制造一些简单的数据，生成0到99的100万个随机数： fromra

python3 正则表达式匹配文本文件

python3 正则表达式匹配文本文件 编写一个程序，打开文件夹中所有的.txt 文件，查找匹配用户提供的正则表达式的所有行。结果应该打印到屏幕上。 还是太年轻了 刚开始看到这个要求，觉得很简单，open()打开文本文件，编辑regex并且匹配文件对应行，并打印在屏

Python3 面向对象基础2

Python3 面向对象基础2 面向对象的三大特性 一、继承 1.1 什么是继承 继承是一种创建新类的方式，在python中，新建的类可以继承一个或多个父类，父类又可称为基类或超类，新建的类称为派生类或子类 python中类的继承分为：单继承和多继承 class ParentClass1: