JSON可以安全地用作命令行参数,还是需要先对其进行清理?
以下情况危险吗JSON可以安全地用作命令行参数,还是需要先对其进行清理?,json,command-line,Json,Command Line,以下情况危险吗 $ myscript '<somejsoncreatedfromuserdata>' $myscript'' 如果是这样,我能做些什么使它不危险 $ myscript '<somejsoncreatedfromuserdata>' 我意识到这可能取决于shell、操作系统、用于进行系统调用的实用程序(如果是在编程语言中进行的)等。但是,我只想知道我应该注意哪些事情。是的。这很危险。 JSON可以在字符串值中包含单引号(它们不需要转义)。请参见第页的“
$ myscript '<somejsoncreatedfromuserdata>'
$myscript''
$ myscript '<somejsoncreatedfromuserdata>'
我意识到这可能取决于shell、操作系统、用于进行系统调用的实用程序(如果是在编程语言中进行的)等。但是,我只想知道我应该注意哪些事情。是的。这很危险。 JSON可以在字符串值中包含单引号(它们不需要转义)。请参见第页的“轨迹” 假设数据是:
{"pwned": "you' & kill world;"}
我会考虑将数据导入到程序中(例如,使用<代码>)POPON“或甚至版本<代码>”Exc] 直接传递参数),例如,这可以避免通过shell引起的问题。与SQL一样:使用占位符可以省去“转义”的麻烦
如果通过shell是唯一的方法,那么这可能是一个选项(未测试,但类似的内容适用于“”上下文):
对于JSON中的每个字符,它要么在ASCII中的“空格”到“~”范围之外,要么在shell的
'\'“\uxxx\\\'''\'{“pwned”:“你”&kill world;“}
{“pwned”:“你”\''&kill world;”}
$myscript'{“pwned”:“你”\''&kill world;“}”