我应该在Perl中避免shell参数吗?

前端之家收集整理的这篇文章主要介绍了我应该在Perl中避免shell参数吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在Perl中使用 system()调用时,是否必须转义shell参数,或者是自动完成调用

参数将是用户输入,所以我想确保这是不可利用的.

解决方法

如果您使用系统$cmd,@args而不是系统“$cmd @args”(一个数组而不是一个字符串),那么您不需要转义参数,因为没有调用shell(参见 system).系统{$cmd} $cmd,@args不会调用shell,即使$cmd包含元字符,@args为空(这是 exec的一部分).如果这些参数来自用户输入,您仍然需要取消它们.请参阅 perlrun文档中的-T和 perlsec文档.

如果您需要读取输出或向命令发送输入,则qx和readpipe没有等效项.相反,使用打开我的$输出“ – |”,$cmd,@args或打开我的$输入“| – ”,@args虽然这不可移植,因为它需要一个真正的叉,这意味着只有Unix. .. 我认为.也许它可以在Windows上使用其模拟叉.一个更好的选择是像IPC::Run这样,它也将处理对其他命令的管道命令的情况,这两个多参数形式的系统和4个arg形式的open都不会处理.

猜你在找的Perl相关文章