Alt işlemde 'shell = True' ifadesinin gerçek anlamı

subprocessModül ile farklı süreçler arıyorum . Ancak bir sorum var.

Aşağıdaki kodlarda:

callProcess = subprocess.Popen(['ls', '-l'], shell=True)

ve

callProcess = subprocess.Popen(['ls', '-l']) # without shell

Her ikisi de çalışır. Dokümanları okuduktan sonra shell=True, kodun kabuktan yürütülmesi anlamına geldiğini öğrendim . Yani bu yokluğunda, sürecin doğrudan başlatıldığı anlamına gelir.

Benim durumum için neyi tercih etmeliyim - bir süreç çalıştırmam ve çıktısını almam gerekiyor. Kabuğun içinden veya dışından çağırmanın ne yararı var?

Kabuk üzerinden arama yapmamanın yararı, bir 'gizem programı' başlatmamanızdır. POSIX'te, ortam değişkeni SHELLhangi ikilinin "kabuk" olarak çağrıldığını denetler. Windows'da, bourne shell descendent yoktur, sadece cmd.exe.

Kabuğu çağırmak kullanıcının seçtiği bir programı çağırır ve platforma bağlıdır. Genel olarak konuşursak, kabuk yoluyla istilalardan kaçının.

Kabuk üzerinden çağırmak, ortam değişkenlerini ve dosya globlarını kabuğun olağan mekanizmasına göre genişletmenize izin verir. POSIX sistemlerinde, kabuk dosya kürelerini bir dosya listesine genişletir. Windows dosya topak (örneğin, "*. *") Üzerinde zaten kabuk tarafından genişletilmediğinde (ancak bir komut satırında ortam değişkenleri olan cmd.exe tarafından genişletilmiş).

Ortam değişkeni genişletmeleri ve dosya globları istediğinizi düşünüyorsanız ILS, alt program çağırmalarını kabuk üzerinden gerçekleştiren ağ hizmetlerine 1992 ish saldırılarını araştırın . Örnekler arasında çeşitli sendmailarka kapılar yer alır ILS.

Özet olarak, kullanın shell=False.

>>> import subprocess
>>> subprocess.call('echo $HOME')
Traceback (most recent call last):
...
OSError: [Errno 2] No such file or directory
>>>
>>> subprocess.call('echo $HOME', shell=True)
/user/khong
0

Kabuk bağımsız değişkenini gerçek bir değere ayarlamak, alt işlemin bir ara kabuk işlemi oluşturmasına ve komutu çalıştırmasını bildirmesine neden olur. Başka bir deyişle, bir ara kabuk kullanmak, komut dizesindeki değişkenlerin, glob kalıplarının ve diğer özel kabuk özelliklerinin komut çalıştırılmadan önce işlendiği anlamına gelir. Burada, örnekte $ HOME, echo komutundan önce işlenmiştir. Aslında bu, ls -l komutu basit bir komut olarak kabul edilirken, kabuk genişletme komutudur.

Kaynak: Alt İşlem Modülü

Shell = True ile işlerin yanlış gidebileceği bir örnek burada gösterilmektedir

>>> from subprocess import call
>>> filename = input("What file would you like to display?\n")
What file would you like to display?
non_existent; rm -rf / # THIS WILL DELETE EVERYTHING IN ROOT PARTITION!!!
>>> call("cat " + filename, shell=True) # Uh-oh. This will end badly...

Dokümanı buradan kontrol edin: subprocess.call ()

Programların kabuk üzerinden yürütülmesi, programa iletilen tüm kullanıcı girdilerinin, çağrılan kabuğun sözdizimi ve semantik kurallarına göre yorumlanması anlamına gelir. En iyi ihtimalle, bu yalnızca kullanıcıya rahatsızlık verir, çünkü kullanıcının bu kurallara uyması gerekir. Örneğin, tırnak işaretleri veya boşluklar gibi özel kabuk karakterleri içeren yollardan kaçılmalıdır. En kötüsü, kullanıcı rastgele programlar yürütebileceğinden güvenlik sızıntılarına neden olur.

shell=Truekelime bölme veya parametre genişletme gibi belirli kabuk özelliklerinden yararlanmak için bazen uygundur. Ancak, böyle bir özellik gerekliyse, size diğer modülleri kullanın (örn os.path.expandvars(). Parametre genişletme veya shlexkelime bölme için). Bu daha fazla iş anlamına gelir, ancak diğer sorunlardan kaçınır.

Kısacası: Kesinlikle kaçının shell=True.

Buradaki diğer cevaplar, subprocessbelgelerde de belirtilen güvenlik uyarılarını yeterince açıklamaktadır . Ancak buna ek olarak, çalıştırmak istediğiniz programı başlatmak için bir kabuk başlatmanın yükü, kabuğun işlevselliğini gerçekten kullanmadığınız durumlar için genellikle gereksizdir ve kesinlikle saçmadır. Ayrıca, ek gizli karmaşıklık sizi korkutmalıdır, özellikle kabuk veya sağladığı hizmetlere aşina .

Kabuk ile etkileşimlerin önemsiz olduğu durumlarda, artık Python betiğinin (gelecekteki kendiniz olabilir veya olmayabilir) okuyucu ve bakıcısının hem Python hem de kabuk betiğini anlaması gerekir. Python'un "açık, örtük olmaktan daha iyidir" sloganını hatırlayın ;Python kodu, eşdeğer (ve genellikle çok kısa) kabuk komut dosyasından biraz daha karmaşık olsa bile, kabuğu kaldırmak ve işlevselliği yerel Python yapılarıyla değiştirmek daha iyi olabilir. Harici bir süreçte yapılan işi en aza indirmek ve kontrolü kendi kodunuz dahilinde olabildiğince uzak tutmak genellikle iyi bir fikirdir, çünkü sadece görünürlüğü geliştirir ve istenen veya istenmeyen yan etki risklerini azaltır.

Joker karakter genişletmesi, değişken enterpolasyon ve yeniden yönlendirme, yerel Python yapılarıyla kolayca değiştirilebilir. Parçaların veya hepsinin Python'da makul bir şekilde yeniden yazılamadığı karmaşık bir kabuk boru hattı, belki de kabuğu kullanmayı düşünebileceğiniz tek durum olacaktır. Yine de performans ve güvenlik sonuçlarını anladığınızdan emin olmalısınız.

Önemsiz durumda, önlemek için shell=True, sadece değiştirin

subprocess.Popen("command -with -options 'like this' and\\ an\\ argument", shell=True)

ile

subprocess.Popen(['command', '-with','-options', 'like this', 'and an argument'])

İlk argümanın execvp()nasıl iletileceği dizelerin bir listesi olduğuna ve dizelerden ve ters eğik çizgiden kaçan kabuk metakarakterlerinin genellikle nasıl gerekli olmadığına (veya yararlı veya doğru) dikkat edin. Belki de bkz. Tırnaklar ne zaman bir kabuk değişkeni etrafına sarılır?

Bir yana, paketteki Popendaha basit sarmalayıcılardan birinin istediğiniz şeyi yapmasından kaçınmak subprocessistersiniz. Yeterince yeni bir Python'unuz varsa, muhtemelen kullanmalısınız subprocess.run.

• Çalıştırdığınız check=Truekomut başarısız olursa başarısız olur.
• Bununla stdout=subprocess.PIPEbirlikte komutun çıktısını yakalar.
• Biraz belirsiz, universal_newlines=True çıktıyı uygun bir Unicode dizgisine deşifre eder (sadece bytessistem kodlamasını başka türlü Python 3'te).

Değilse, birçok görev için istediğiniz check_output başarılı check_callolup olmadığını kontrol ederken veya toplanacak çıktı yoksa, bir komuttan çıktı almak .

David Korn'dan bir alıntıyla kapatacağım: "Taşınabilir bir kabuk yazmak, taşınabilir bir kabuk komut dosyasından daha kolaydır." subprocess.run('echo "$HOME"', shell=True)Windows için bile taşınabilir değildir.