Javascript 如何在节点中转义shell命令的字符串?
在中,执行外部命令的唯一方法是通过sys.exec(cmd)。我想调用一个外部命令并通过stdin给它数据。在nodejs中,似乎还没有一种方法可以打开一个命令,然后将数据推送到该命令中(仅用于执行并接收其标准+错误输出),因此我现在要做的唯一方法似乎是通过一个字符串命令,例如:Javascript 如何在节点中转义shell命令的字符串?,javascript,shell,escaping,node.js,v8,Javascript,Shell,Escaping,Node.js,V8,在中,执行外部命令的唯一方法是通过sys.exec(cmd)。我想调用一个外部命令并通过stdin给它数据。在nodejs中,似乎还没有一种方法可以打开一个命令,然后将数据推送到该命令中(仅用于执行并接收其标准+错误输出),因此我现在要做的唯一方法似乎是通过一个字符串命令,例如: var dangerStr = "bad stuff here"; sys.exec("echo '" + dangerStr + "' | somecommand"); 对这类问题的大多数回答都集中在正则表达式上,
var dangerStr = "bad stuff here";
sys.exec("echo '" + dangerStr + "' | somecommand");
我想避开dangerStr,这样就可以安全地编写上面的exec字符串。如果有帮助,dangerStr将包含JSON数据。有一种写入外部命令的方法:
process.createChildProcesswritecreateChildProcessvar stdout = "", stderr = "";
var child = process.createChildProcess("someCommand");
child.addListener("output", function (data) {
if (data !== null) {
stdout += data;
}
});
child.addListener("error", function (data) {
if (data !== null) {
stderr += data;
}
});
child.addListener("exit", function (code) {
if (code === 0) {
sys.puts(stdout);
}
else {
// error
}
});
child.write("This goes to someCommand's stdin.");
var escapeShell = function(cmd) {
return '"'+cmd.replace(/(["'$`\\])/g,'\\$1')+'"';
};
function escapeShellArg (arg) {
return `'${arg.replace(/'/g, `'\\''`)}'`;
}
echo 'John'\''s phone';
bashfishzshshbashshzsh'bash-c\''+escape('all-the-rest-escape')+'\'var child = require('child_process')
.spawn('echo', ['`echo 1`;"echo $SSH_TTY;\'\\0{0..5}']);
child.stdout.on('data', function (data) {
console.log('stdout: ' + data);
});
child.stderr.on('data', function (data) {
console.log('stderr: ' + data);
});
echo '`echo 1`;"echo $SSH_TTY;'\''\\0{0..5}'
stdout: `echo 1`;"echo $SSH_TTY;\'\\0{0..5}
require('child_process')
.spawn('sh', ['-c', [
'cd all/your/commands',
'ls here',
'echo "and even" > more'
].join('; ')]);
祝你今天愉快 如果您还需要处理特殊字符(换行符等),可以这样做:
str = JSON.stringify(str)
.replace(/^"|"$/g,'') //remove JSON-string double quotes
.replace(/'/g, '\'"\'"\'') //escape single quotes the ugly bash way
const { spawn } = require('child_process');
// Note that the arguments are in an array, not using string interpolation
const ls = spawn('ls', ['-lh', '/usr']);
ls.stdout.on('data', (data) => {
console.log(`stdout: ${data}`);
});
ls.stderr.on('data', (data) => {
console.log(`stderr: ${data}`);
});
ls.on('close', (code) => {
console.log(`child process exited with code ${code}`);
});
const dangerStr = 'bad stuff here'
// base64 has safe characters [A-Za-z=0-9+/]
const dangerBase64 = btoa(dangerStr)
sys.exec(`echo "$(echo ${dangerBase64} | base64 -d)" | somecommand`)
dangerbase 64echo${dangerBase64}最后,
$(echo${dangerBase64}| base64-d)var base64_encode = exports.base64_encode = function(non_base64_string){
return Buffer.from(non_base64_string).toString('base64');
}
var base64_decode = exports.base64_decode = function(base64_string){
return Buffer.from(base64_string, 'base64').toString('ascii')
}
webman grep --search "aW5jbHVkZV9vbmNlICRfU0VSVkVSWyJET0NVTUVOVF9ST09UIl0uIi9zZXR0aW5ncy5waHAiOw==" --replacement "JGRvY3VtZW50X3Jvb3QgPSBfX0RJUl9fO3doaWxlKHRydWUpe2lmIChmaWxlX2V4aXN0cygkZG9jdW1lbnRfcm9vdC4iL3NldHRpbmdzLmpzb24iKSl7YnJlYWs7fWVsc2V7JGRvY3VtZW50X3Jvb3Q9ZGlybmFtZSgkZG9jdW1lbnRfcm9vdCk7fX08bmV3bGluZT5pbmNsdWRlX29uY2UgJGRvY3VtZW50X3Jvb3QuIi9zZXR0aW5ncy5waHAiOw=="
对于Bourne类型的Shell,我可以使用
base64\u decode无压力地获取参数search
和replacement
对于Bourne类型的Shell,您可以使用以下算法安全地转义字符串:1)用四字符序列单引号、反斜杠、单引号替换所有出现的单引号('),单引号('\'')2)在已修改字符串的开头和结尾添加一个额外的单引号。前导单引号和尾随单引号的编码效率不高,但它仍然有效——当它可能只是\'时,它就变成了\'。澄清一下:我花了一点时间才理解@ChrisJohnsen的建议,但它确实有效。如果希望不要在shell上执行该操作
,请执行echo'don'\''don'\'don'
以生成不要执行该操作
。。谢谢顺便说一句,新的URI是你没有解释任何关于转义参数的事情。这并没有回答OP所问的问题,即转义参数。echo
的使用只是一个例子。OP不仅仅是试图通过管道将字符串传输到命令。他们试图在命令行中使用任意字符串。它不能回答标题中的问题,但这通过完全避免问题解决了问题。OP接受了答案,因此显然它起了作用。@DavidTorresabc$abc
变成了abc\$abc
如果使用撇号,则无需使用esacpe$
。
这似乎是错误的:它将foo bar
转义为foo\bar
,将解析为foo\bar
。引用空格(\s
)如果您将所有内容都用双引号括起来,则不必这样做,因为这样会自动保留所有空白。只有在字符串周围没有引号时才需要这样做,否则shell会将空格视为参数分隔符。此外,当您将选项卡转换为\
时,您没有正确引用空格,但正确的形式应该是\t
。这似乎是命令注入和奇怪的边缘案例问题的邀请。