我应该在Perl中避免shell参数吗?
发布时间:2020-12-15 21:14:54 所属栏目:大数据 来源:网络整理
导读:在Perl中使用 system()调用时,是否必须转义shell参数,或者是自动完成调用? 参数将是用户输入,所以我想确保这是不可利用的. 解决方法 如果您使用系统$cmd,@args而不是系统“$cmd @args”(一个数组而不是一个字符串),那么您不需要转义参数,因为没有调用shell(
在Perl中使用
system()调用时,是否必须转义shell参数,或者是自动完成调用?
参数将是用户输入,所以我想确保这是不可利用的. 解决方法
如果您使用系统$cmd,@args而不是系统“$cmd @args”(一个数组而不是一个字符串),那么您不需要转义参数,因为没有调用shell(参见
system).系统{$cmd} $cmd,@args不会调用shell,即使$cmd包含元字符,@args为空(这是
exec的一部分).如果这些参数来自用户输入,您仍然需要取消它们.请参阅
perlrun文档中的-T和
perlsec文档.
如果您需要读取输出或向命令发送输入,则qx和readpipe没有等效项.相反,使用打开我的$输出“ – |”,$cmd,@args或打开我的$输入“| – ”,@args虽然这不可移植,因为它需要一个真正的叉,这意味着只有Unix. .. 我认为.也许它可以在Windows上使用其模拟叉.一个更好的选择是像IPC::Run这样,它也将处理对其他命令的管道命令的情况,这两个多参数形式的系统和4个arg形式的open都不会处理. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |