Bash

正確轉義引號

  • June 18, 2018

我有以下命令:

python -c 'import crypt; print(crypt.crypt("$Password", crypt.mksalt(crypt.METHOD_SHA512)))'

$Passwordshell變數在哪裡。如何正確地將其擴展為變數,而不是將其視為文字?

不要因為那將是程式碼注入漏洞,並且還要避免在命令的參數中傳遞密碼,因為它們會通過顯示在輸出中ps而變得公開,並且有時會記錄在一些審計日誌中。

使用環境變數通常更好:

PASSWORD="$Password" python3 -c 'import os, crypt
print(crypt.crypt(os.getenv("PASSWORD"), crypt.mksalt(crypt.METHOD_SHA512)))'

(這裡使用VAR=value cmd語法而不是export VAR環境變數只傳遞給那個命令呼叫)。

引用自:https://unix.stackexchange.com/questions/450369

相關問答

Bash

將長 html 字元串作為參數傳遞給 bash 腳本(文件名太長)

  • February 25, 2022
檢視問答
Bash

忘記在 bash/POSIX shell 中引用變數的安全隱患

  • April 1, 2022
檢視問答
Bash

如果 Python 腳本被殺死或死亡,如何自動重新啟動它

  • February 12, 2022
檢視問答
Bash

我們如何執行儲存在變數中的命令?

  • January 30, 2022
檢視問答
Bash

如何將此腳本轉換為別名(MacOS、ZSH)

  • December 22, 2021
檢視問答
Bash

如何通過命令選項防止命令注入?

  • November 28, 2021
檢視問答