开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

当arg已经包含“”和‘’引号时，如何将字符串arg提交给subprocess.run(arg，shell=True)？

在使用 subprocess.run() 函数时，如果你的参数 arg 已经包含了引号（无论是单引号 ' 还是双引号 "），并且你需要通过 shell=True 来执行，这里有几个要点需要注意，以确保命令的正确执行和避免安全风险。

安全性考虑

首先，使用 shell=True 可能会带来安全风险，特别是当你的参数来自不可信的源。如果可能的话，最好避免使用 shell=True，因为这样可以防止shell注入攻击。如果你必须使用 shell=True，请确保你的输入是安全的，或者你完全控制了输入内容。

处理引号

如果你需要在包含引号的字符串中嵌入更多的引号，你必须确保引号被正确地转义。这通常意味着你需要：

转义已存在的引号：确保字符串内部的引号不会被shell错误解释。
正确引用整个命令：确保整个命令被视为一个单一的参数。

示例

假设你有一个包含引号的字符串，你需要通过 subprocess.run() 执行。这里是如何安全地构建和执行这样的命令的一个例子：

import subprocess

# 假设arg是一个复杂的字符串，已经包含引号
arg = 'echo "Hello, world!"'

# 使用shlex.quote来安全地引用整个命令
import shlex
safe_arg = shlex.quote(arg)

# 构建命令
command = f'sh -c {safe_arg}'

# 执行命令
result = subprocess.run(command, shell=True, text=True, capture_output=True)

# 打印输出
print(result.stdout)

在这个例子中，shlex.quote() 函数用于确保任何特殊字符，包括引号，都被适当地转义，这样它们就不会被shell错误地解释。这是处理包含复杂引号和其他特殊字符的外部命令的推荐方法。

注意

永远不要 直接将不可信的输入传递给 shell=True，这可能导致严重的安全漏洞。
尽可能使用 subprocess.run() 的列表形式来调用命令，这样可以避免使用shell，从而提高安全性和效率。
如果你的场景复杂，考虑使用更高级的库，如 sh 或 plumbum，这些库提供了更丰富的接口来处理外部命令和脚本。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Bash 编程易错总结大全

这里主要两个问题：使用命令展开时不带引号，其执行结果会使用 IFS 作为分隔符，拆分成参数传递给 for 循环处理；不应该让脚本去解析 ls 命令的结果[2]；我们不能避免某些文件名中包含空格，Shell...例如，当变量的值包含-n 时，echo 会认为它是一个合法的选项而不是要输出的内容（当然如果你能够保证不会有-n 这种值，可以放心地使用 echo 命令）。...进程，子 shell 进程中的 cd 命令仅会影响当前 shell 的环境变量，所以父进程中的环境命令不会被改变；当执行到下一次循环时，无论之前的 cd 命令有没有执行成功，我们会回到相同的当前目录...34. if [[ $foo = $bar ]] 在 [[内部，当 = 号右边的值没有用引号引起来，bash 会将它当作模式来匹配，而不是一个简单的字符串。...所以，在上面的例子中，如果 bar 的值是一个*号，执行的结果永远是 true。所以，如果你想检查两侧的字符串是否相同，等号右侧的值一定要用引号引起来。

2.9K1 0

Shell常用的特殊字符

]# . a.sh david '' 单引号和 "" 双引号引号代表字符串，单引号不能解释$符号，不能变量转换。...表达式1:表达式2”，使用这个算法可以使调用数据时逐级筛选。...，正则表达式表示行尾 ${} 变量的正则表达式 {parameter}，等于parameter，即是变量参数的值，可用于变量和字符串连接起来 [root@localhost shell]# cat a1...]# echo ${var=abc} abc [root@localhost shell]# echo ${var=xyz} # 因为var的值已经定义 abc *, @ 所有定位参数 *和 @要加引号...当*没有加双引号，效果和@效果是一样的。 [root@localhost shell]# cat argslist2.sh #!/bin/bash if [ !

8.1K2 0

Shell学习笔记

, $$和命令行参数 $$ 表示当前Shell进程的ID，即pid $0 当前的脚本名 $# 传递给脚本或函数的参数个数。 $n 传递给脚本或函数的参数。...上个命令的退出状态，或函数的返回值 $* 传递给脚本或函数的所有参数 $@ 传递给脚本或函数的所有参数, 与$*区别在于被双引号(" ")包含时，"$*" 会将所有的参数作为一个整体，以"$1 $2 …...替换命令替换限制性shell命令，并将结果保存在变量之中用反引号，将shell命令包含起来即可 Data=`date` echo "data is $Data" UNUM=`who | wc...上面使用 ${varName} 来表示变量，放在双引号中时，会自动被值替换，下面给出一些扩展单引号（''）之内的变量不会被替换 ${var:-word} 如果变量 var 为空或已被删除(unset...= 表示字符串是否不等 -Z 检测长度是否为0，是则为true -n 检测长度是否不为0，非0则为true str 检测字符串是否为空 , 非空则为true 字符串长度 ${#varName} 字符串切割

70710 0

正则表达式介绍与使用

即便使用引号将其包含也会提示语法格式错误。此时，需要通过 index 来读取指定属性信息。...false 被识别为 false，其它值（字符串、数字、对象等）均被识别为 true。...支持的类型包括 array, slice, map 和 channel。使用要点：对应的值长度为 0 时 range 不会执行。结构内部如要使用外部的变量，需要在前面加引用比如Var2。...效果是当返回值为空或长度为 0 时执行 else 内的内容。基础语法: {{range pipeline}}{{.}}{{end}} {{range pipeline}}{{.}}...操作对象必须是字符串且不能是纯数字。同时字符串中必须包含相应的分隔符，否则会直接忽略操作。

3404 0

正则表达式介绍与使用

即便使用引号将其包含也会提示语法格式错误。此时，需要通过 index 来读取指定属性信息。...false 被识别为 false，其它值（字符串、数字、对象等）均被识别为 true。...支持的类型包括 array, slice, map 和 channel。使用要点：对应的值长度为 0 时 range 不会执行。结构内部如要使用外部的变量，需要在前面加引用比如Var2。...效果是当返回值为空或长度为 0 时执行 else 内的内容。基础语法: {{range pipeline}}{{.}}{{end}} {{range pipeline}}{{.}}...操作对象必须是字符串且不能是纯数字。同时字符串中必须包含相应的分隔符，否则会直接忽略操作。

6411 0

shell getopt「建议收藏」

parameters中的短选项由符号'-'和紧连其后的一个字符构成。如上述简单例子中-o后面的a:，指示parameters中可以包含一个形如-a 的短选项。...对于双引号造成的区别，应该和shell的expansion有关，还不是很理解。...但可以看到的是，双引号使得空格保留下来了，作为了参数的一部分，使得getopt在处理时，将-a para_a 当做了一个整体。...--> `long' 从上面的结果中看到，如果@的引号缺失了，会使得'another arg'和" very long "的空格丢失；而不是很明白。。。...这篇文章写到最后，依然没弄清eval和双引号的作用。

1.7K2 0

Shell脚本学习1

：是Shell的一个内部指令，用于在屏幕上打印出指定的字符串 echo arg #输出arg变量 echo -e arg #执行arg里的转义字符。...echo加了-e默认会换行 echo arg > myfile #显示结果重定向至文件，会生成myfile文件注意： echo后单引号和双引号作用是不同的单引号不能转义里面的字符，双引号可有可无，单引号主要用在原样输出中...#format-string 为格式控制字符串，arguments 为参数列表。功能和用法与c语言的 printf 命令类似。...被双引号(" ")包含时，与 $* 稍有不同 $? 上个命令的退出状态，或函数的返回值。 $$ 当前Shell进程ID。对于 Shell 脚本，就是这些脚本所在的进程ID。...* 和 @ 的区别： * 和 @ 都表示传递给函数或脚本的所有参数，不被双引号(" ")包含时，都以"1" " 但是当它们被双引号(" “)包含时，”2 … n"的形式输出所有参数；“@” 会将各个参数分开

3122 0

Docker学习笔记---Dockerfile

要在LABEL值中包含空格，请使用引号和反斜杠，就像在命令行解析中一样。...第一个空格后的整个字符串将被视为- 包括空格和引号等字符。第二种形式ENV = …允许一次设置多个变量。请注意，第二种形式在语法中使用等号（=），而第一种形式则不使用等号。...像命令行解析一样，引号和反斜杠可用于在值中包含空格。...（如[ 和]）的文件或目录时，需要按照Golang规则转义这些路径，以防止它们被视为匹配模式。...ARG ARG [=] 该ARG指令定义了用户可以docker build使用该–build-arg = 标志使用命令在构建时传递给构建器的变量。

7001 0

Dockerfile关键词实验演示：

字符串中包含空格需要转义或包含在引号中使用格式：LABEL（关键字）+key=valule 的格式（如果值中间有空格比较奇怪的，用双引号隔起来，表示是一整个字符串）# 指令将元数据添加到镜像。...要在 `LABEL` 值中包含空格，请像在命令行中一样使用引号和反斜杠方法一：每一个键值对对应一个关键字# Set one or more individual labelsLABEL com.example.version...）ARG（设置变量）作用ARG设置构建参数，即docker build命令时传入的参数。...ARG和ENV起作用的时机不同：使用格式ARG [=] **最佳实践建议** 1....也就是说在子镜像中执行）作用：ONBUILD 指定的命令在构建镜像时并不执行，而是在它的子镜像中执行为镜像创建触发器，当一个镜像被用作其他镜像的基础镜像时，这个触发器会被执行。

9712 0

将Python和R整合进一个数据分析流程

为TRUE，myArgs向量中只包含添加到命令行的参数。...命令行执行和执行子进程为了更好地理解在执行子进程的时候发生了什么，值得重新考虑当命令行运行一个Python 或 R进程中更多的细节。...解决这一问题最简单的方法是为全路径名称加上双引号，然后用单引号封装此字符串，这样，R保留参数本身的双引号。下面的代码中，给出在R 中执行 Python 脚本的实例。...# run_splitstr.R command = “python” #注意在字符串中的单引号和双引号（如果路径名中有空格，这是必须的） path2script='”path/to your script...当stdout=TRUE时，退出状态存储在一个名为“状态”的属性中。总结通过子进程调用，可以将Python和R整合到一个应用程序中。

3.1K8 0

DockerFile就这么简单

form shell格式的命令) CMD指令可以直接指定一个可执行命令，就是上述的第一和第三种方式，当创建容器时会去执行这个命令，而且需要注意的是，第三种方式是默认在shell中执行的，可以引用shell...此外，还需要注意一点，我们使用列表的格式来编写命令时，要注意使用双引号来包裹各个参数，而不是单引号。...和VALUE，如果VALUE部分包含空格，我们可以用引号将VALUE部分引起来，也可以用反斜杠对空格做转义处理。...添加包含特殊字符（例如[和]）的文件或目录时，您需要按照Golang规则转义那些路径，以防止将它们视为匹配模式。...其格式如下： ARG [=] 在Dockerfile中可以包含一个或多个变量。

1.6K2 0

将Python和R整合进一个数据分析流程

为TRUE，myArgs向量中只包含添加到命令行的参数。...命令行执行和执行子进程为了更好地理解在执行子进程的时候发生了什么，值得重新考虑当命令行运行一个Python 或 R进程中更多的细节。...解决这一问题最简单的方法是为全路径名称加上双引号，然后用单引号封装此字符串，这样，R保留参数本身的双引号。下面的代码中，给出在R 中执行 Python 脚本的实例。...# run_splitstr.R command = "python" #注意在字符串中的单引号和双引号（如果路径名中有空格，这是必须的） path2script='"path/to your script...当stdout=TRUE时，退出状态存储在一个名为“状态”的属性中。总结通过子进程调用，可以将Python和R整合到一个应用程序中。

2.4K8 0

【云原生 | Docker篇】深入Dockerfile（四）

配置当创建的镜像作为其他镜像的基础镜像是,所指定的创建操作指令STOPSIGNAL容器退出的信号值HEALTHCHECK健康检查SHELL指定使用shell时的默认shel类型二、FROMFROM 指定基础镜像...exec形式可以避免破坏shell字符串，并使用不包含指定shell可执行文件的基本映像运行RUN命令。可以使用SHELL命令更改shell形式的默认shell。...RUN ( shell 形式, /bin/sh -c 的方式运行，避免破坏shell字符串) RUN "executable", "param1", "param2" RUN /...：传入arg1 则echo arg1 六、ARG和ENV6.1、ARGARG指令定义了一个变量，用户可以在构建时使用--build-arg = 传递，docker build命令会将其传递给构建器。...引号和反斜杠可用于在值中包含空格。

1.5K7 2

2023i春秋香山杯网络安全大赛Write up

根据凯撒移位规则，得出移位数为3，故key是3 进行凯撒移位密码解密爆出flag： flag{we1c0m3_2_ctf} Web PHP_unserialize_pro 题目内容：小明已经学会反序列化啦...类似于PWN中的ROP，有时候反序列化一个对象时，由它调用的__wakeup()中又去调用了其他的对象，由此可以溯源而上，利用一次次的 " gadget " 找到漏洞点。...常用魔法函数 __invoke() 当一个类被当作函数执行时调用此方法。...__construct 在创建对象时调用此方法 __toString() 在一个类被当作字符串处理时调用此方法 __wakeup() 当反序列化恢复成对象时调用此方法 __get() 当读取不可访问或不存在的属性的值会被调用...;O:4:"G00d":2:{s:5:"shell";s:6:"system";s:3:"cmd";s:3:"dir";}}} 序列化就是把类里面的对象转化成字符串形式（包括对象名、对象属性、对象字符、

3852 0

Dockerfile文件万字全面解析

这样就可以在使用ADD和COPY命令时，避免把一些大文件或者敏感信息文件和目录，发送到Docker daemon。...在ARG定义的build stage结束时，ARG指令就超出范围了。...比如虽然server一直在运行，但是实际上已经死循环了，无法处理新连接了。当container定义了健康检查，就会把健康状态添加到status中。status初始化是starting。...S", "/C"] RUN echo hello 当shell格式的RUN， CMD，ENTRYPOINT出现在Dcokerfile中时，SHELL指令能影响这些指令。...但是需要双引号和转义符，显得有点冗余。。

2.7K2 0

01 . MongoDB简介及部署配置

字段值可以包含其他文档，数组及文档数组。主要特点 # MongoDB 是一个面向文档存储的数据库，操作起来比较简单和容易。...local: 这个数据永远不会被复制，可以用来存储限于本地单台服务器的任意集合 config: 当Mongo用于分片设置时，config数据库在内部使用，用于保存分片的相关信息。...文档中的值不仅可以是在双引号里面的字符串，还可以是其他几种数据类型（甚至可以是整个嵌入的文档)。 # 3. MongoDB区分类型和大小写。 # 4. MongoDB的文档不能有重复的键。 # 5....# when slave: specify master as 当为从时，指定主的地址和端口 --only arg # when slave...: specify a single database to replicate 当为从时，指定需要从主复制的单一库 --pairwith arg # address of server to

1.7K5 0

Bash 中的 $* 和 $@ 有什么区别

me arg1 arg2 you passed me arg1 arg2 * 和 @ 有什么区别?...答：在 Bash 中，* 和 @ 都用于引用传递给脚本或函数的所有参数。当没有双引号包围时，$* 和 $@ 的行为是相同的。...当使用双引号包围时就出现差异了，这里说明一下： $ set -- "arg 1" "arg 2" "arg 3" $ for word in $*; do echo "$word"; done...3 再举一个强调引号重要性的例子：请注意，在 "arg" 与数字之间有 2 个空格，但如果我不对 $word 加引号的话： $ for word in "$@"; do echo $word; done...那么估计有同学要问了，有没有在需要 " 有的，在需要以特定方式合并参数时，" 假设你想要创建一个字符串，其中包含传递给脚本的所有参数，且参数之间由逗号（而不是默认的 IFS 分隔符）连接。

3281 0

Python 执行系统命令

为True时，表示将通过shell来执行 cwd 用来设置当前子进程的目录 env 用于指定子进程的环境变量。...如果env=None，则默认从父进程继承环境变量 universal_newlines 不同系统的的换行符不同，当该参数设定为true时，则表示使用\n作为换行符。...如果 args是一个字符串，则该字符串指定要通过shell执行的命令。...当需要设置shell=True时(当False时，arges是列表，第一个参数是shell命令，后面的都是参数’,’ 隔开)，须把args设为string，空格隔开，如下 >>> a = subprocess.Popen...= subprocess.run(command, shell=True) # 当配置了stdout参数，completed_process_obj的stdout属性就会保存命令的输出 completed_process_obj

1.7K1 0

Linux基础（五）

$@ $* ：只有在被双引号引起来的时候才会有差异说明：在编写脚本时，进来先判断 [ $# -lt 1 ] && echo "Usage:$0 arg1..." && exit 0 位置变量注意点：...当引用参数大于10个时，我们在用$10,$11这种做法就不行，会出现错误，此时需要使用 $,$,.........= ：判断两字符串是否不相等 > :ascii码1是否大于ascii码2 =~ ：左侧字符串是否能够被右侧的PATTERN所匹配（左侧的字符串是否包含右侧pattern） str=abc [[ "$str..." =~ "abc" ]] && echo true echo false [[ $str =~ a.c ]] && echo true echo false（判断是否包含a,c不需要加引号）注意...：此表表达式一般用于 [[ ]]中；扩展的正则表达式用于字符串比较时用到的操作数都应该使用引号实例： -z：True is string is empty x=100 --> [ -z $x ]

1.2K8 0

Shell编程中关于数组作为参数传递给函数的若干问题解读

最近在学习《Linux命令行和shell脚本编程大全》（第四版）这本书，对于自己遇到的问题以及通过搜索引擎和书籍中的解决方案进行一个案例的剖析，希望对于像我这样的初学者，有一个帮助。...：反引号（`）和 $()格式。...当有命令的输出的时候，需要用反引号(`)或者$() 的格式来赋值，如下：[root@iZuf6gxtsgxni1r88kx9rtZ linux_cmd]# cat param.sh #!...arg1 中使用了反引号或者$() 来将命令输出赋值给变量。...pro_arr $arg2对函数传参数字符串形式：[root@iZuf6gxtsgxni1r88kx9rtZ linux_cmd]# cat fun_array.sh #!

1541 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭