subprocess shell=True的测试

最新推荐文章于 2025-01-17 09:31:57 发布
原创 最新推荐文章于 2025-01-17 09:31:57 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #subprocess #shell-True

本文通过测试探讨了在使用Python subprocess模块时避免使用shell=True的重要性。shell=True可能导致命令注入安全问题,例如,当命令字符串包含分隔符时,可能会执行多个命令。相反,shell=False更安全,它将命令参数作为数组传递,减少了潜在风险。示例代码展示了如何避免这种风险,强调了从外部源获取参数时应谨慎处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近用到了python的subprocess模块,看到官方声明里说要尽力避免使用shell=True这个参数,于是测试了一下:

  from subprocess import call
  import shlex

  cmd = "cat test.txt; rm test.txt"
  call(cmd, shell=True)

运行之后:
1:打开并浏览了test.txt文件
2:删除了test.txt文件

  from subprocess import call
  import shlex

  cmd = "cat test.txt; rm test.txt"
  cmd = shlex(cmd)
  call(cmd, shell=False)

运行之后:
1:尝试打开名为text.txt;的文件
2:尝试打开名为rm的文件
3:打开并浏览了test.txt文件

shell=True参数会让subprocess.call接受字符串类型的变量作为命令,并调用shell去执行这个字符串,第一个测试中的分号被认为是shell命令中的分隔符,执行了cat和rm两个命令。
当shell=False是,subprocess.call只接受数组变量作为命令,并将数组的第一个元素作为命令,剩下的全部作为该命令的参数,因此第二个测试只执行了cat命令,并试着打开了作为参数的”text.txt;”,”rm” , “text.txt”三个文件。
毫无疑问shell=False的参数能让你的程序更加安全,尤其是当你的cmd变量值是从外部读取到的时候。
假设你有这样的一个需求:让程序运行cat命令,cat的参数则是从一个文件里读取,那代码可能是这样子的

 from subprocess import call   

 param = file.readline()
 call(cat + param, shell = True)

一旦当param读取到了”a.txt; rm -rf /;b.txt”之类的字符串时,后果时毁灭性的……

  from subprocess import call
  import shlex

  param = file.readline()
  param = "cat " + param
  param = shlex(param)
  call(param, shell = False)

显然是更好的选择。

YOLO报错: return subprocess.check_output(s, shell=True, stderr=subprocess.STDOUT).decode()[:-1]Unic
qq_53545309的博客
07-24 338
如果子进程输出的是二进制数据(例如,一些命令行工具的输出),而不是文本数据,那么尝试用UTF-8解码这些数据将会导致错误。这个错误通常发生在尝试将字节序列解码为字符串时,但字节序列中包含了无法用指定的编码(这里是UTF-8)解码的字节。这通常发生在尝试解码非UTF-8编码的数据时,例如二进制数据或者错误的编码格式。:在某些情况下,系统的默认编码可能不是UTF-8,或者Python环境配置有问题,导致无法正确解码。函数调用了某个命令行工具,而该工具的输出包含了非标准编码的字符,也可能导致这个问题。
Subprocess模块调用shell命令
weixin_43981644的博客
12-11 851
传参的方法: %s name = "1111" subprocess.popen('ls -l > %s' %name, shell = True) 输出到1111文件中
python subprocess参数shell=True踩到的坑
le31ei的博客
01-02 1万+
0x01 问题现象写的程序使用subprocess创建子进程运行其他程序,判断其他程序运行完后进行处理。 在subprocess使用shell=True,判断用户程序退出的代码如下while self.proc.poll() is None: do_something判断子进程是否运行结束,程序在子进程运行结束后,代码未向下继续运行,而是卡在了这个循环中。0x02 原因分析百度后对she
python 清理 subprocess 的子进程 使用了参数 shell=True
u014686778的博客
05-23 436
【代码】python 清理 subprocess 的子进程(当 shell=True 时)
python3:subprocess.run shell=True踩坑记录
shi_ku_shui的博客
03-13 1501
跟着菜鸟教程打的 subprocess.run(["ls","/home"],shell=True,encoding="utf-8",timeout=1) 结果一直输出当前目录下 执行ls的结果 实际上应该把指令放在一个引号内 subprocess.run(["ls /home"],shell=True,encoding="utf-8",timeout=1) ...
python subprocess库,使用shell=True在windows下究竟意味着什么?
jianglangyixiao的博客
10-22 1055
windows中,直接在gui执行程序和在cmd/powershell中执行程序是不同的。
subprocess.call(cmd, shell=True)
weixin_30773135的博客
05-02 2368
1.使用方法 subprocess.call() 执行由参数提供的命令. 我们可以用数组作为参数运行命令,也可以用字符串作为参数运行命令(通过设置参数shell=True) 注意,参数shell默认为False 我们用subprocess.call()来做一个统计磁盘的例子: subprocess.call(['df', '-h']) 下面的例子把shell设置为True ...
subprocess.run(command, shell=True)
最新发布
03-11
嗯,用户让我介绍一下 `subprocess.run(command, shell=True)`,并且他们之前问过关于将C代码转换为NodeFFI的问题。看起来他们可能在使用Python进行系统级操作,或者需要执行外部命令。我需要先确认他们的使用场景,...
process = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
10-09
当你使用 `subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE)` 这样的构造函数时,你在Python中创建了一个新的子进程来执行给定的`command`,其中`shell=True`意味着命令会在...
import subprocess command = 'dir C:\Users\YCM\Desktop\python20230215' execcommand = subprocess.Popen(command, shell = True, stdout= subprocess.PIPE, stderr= subprocess.PIPE) outRes, errRes = execcommand.communicate() #print(outRes)
06-13
execcommand = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE) outRes, errRes = execcommand.communicate() #print(outRes) ``` 这里需要注意的是,Windows下路径分隔符...
Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
10-05
p = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE) # 等待子进程完成 p.wait() # 读取标准输出 stdout_data = p.stdout.read().decode() print(f"Standard output: {stdout...
pythonsubprocess shell=False 与shell=True的区别
热门推荐
xiaoyaozizai017的博客
05-28 3万+
shell=True参数会让subprocess.call接受字符串类型的变量作为命令,并调用shell去执行这个字符串,当shell=False是,subprocess.call只接受数组变量作为命令,并将数组的第一个元素作为命令,剩下的全部作为该命令的参数。 举个例子来说明: from subprocess import call import shlex cmd = "cat
子进程中‘shell = True‘的实际含义
06-27 591
在这个例子中,我们首先定义了一个要执行的命令`"ls -l"`,然后使用`subprocess.Popen()`函数来启动这个命令。当我们设置`shell=True`时,Python会先将这个命令包装成一个shell命令`"ls -l"`,然后这个shell命令再由操作系统来解析和执行。最后,我们等待命令执行完成,并获取返回值,打印出来。当我们设置`shell=True`时,Python会先将我们的命令包装成一个shell命令,然后这个shell命令再由操作系统来解析和执行。
python使用 subprocess.run 执行命令时,shell=Trueshell=False区别
dreams_dream的博客
01-17 660
时,需要格外小心,因为这样做会引入潜在的安全风险,特别是在处理来自不可信来源的输入时。的命令必须是一个由命令和参数组成的列表。时,命令字符串会被 shell 解析,可以包含复杂的 shell 特性,但需要注意潜在的安全风险。这意味着你可以执行复杂的 shell 命令,包括管道、重定向以及多个命令的组合。时,安全性更高,因为你传递的命令和参数不会被 shell 解析。在这种情况下,命令和参数直接传递给操作系统执行,不经过 shell 解析。时,传递的命令和参数更安全,但不能使用 shell 特性。
如何在子进程中避免 shell=True
07-22 648
如果你需要更精细的控制,如重定向输入/输出、捕获错误、处理进程间通信等,可以使用`subprocess.Popen()`函数。- 如果你的目标是执行一个单一的、已知存在且可执行的命令行工具,可以直接通过`subprocess.run()`函数来实现。raise Exception(f"命令执行失败,返回码:{proc.returncode}\n错误信息:{error.decode('utf-8')}")print("输出:", output.decode('utf-8'))
Python subprocess.Popen中的shell参数详解
Leon_Jinhai_Sun的博客
09-04 912
Python subprocess.Popen中的shell参数详解
Python】如何终止以shell=True启动的子进程shell命令
qq_40205510的博客
12-19 610
超时后,虽然进程结束了,但是shell中正在执行的指令并没有结束,仍在运行。在代码中添加一个kill函数,将所有子进程全部结束。
python中的subprocess.Popen()使用
沧海明月的博客
03-05 2920
python2.4版本开始,可以用subprocess这个模块来产生子进程,并连接到子进程的标准输入/输出/错误中去,还可以得到子进程的返回值。 subprocess意在替代其他几个老的模块或者函数,比如:os.system os.spawn* os.popen* popen2.* commands.* 一、subprocess.Popen subprocess模块定义了一个类: Popen class subprocess.Popen( args, bufsize=0, exec...
python子进程模块subprocess详解与应用实例 之一
北雨南萍
09-09 4040
subprocess--子进程管理器​ 一、subprocess 模块简介 subprocess最早是在2.4版本中引入的。 subprocess模块用来生成子进程,并可以通过管道连接它们的输入/输出/错误,以及获得它们的返回值。 它用来代替多个旧模块和函数: os.system os.spawn* os.popen* popen2.* commands.* 关于这个模
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值