Comment échapper à une chaîne pour une commande shell dans le nœud?

Dans nodejs, la seule façon d'exécuter des commandes externes est par sys.exec(cmd). J'aimerais appeler une commande externe et de lui donner des données via stdin. En nodejs, il ne semble pas encore être une façon de ouvrez une invite de commande puis appuyez données (uniquement pour exec et recevoir ses standard+les sorties d'erreur), donc il semble que la seule façon que j'ai à faire de ce droit est maintenant le biais d'une seule chaîne de commande telle que:

var dangerStr = "bad stuff here";
sys.exec("echo '" + dangerStr + "' | somecommand");

La plupart des réponses à des questions comme celles-ci ont porté sur des regex ne fonctionne pas pour moi en nodejs (qui utilise Google le moteur Javascript V8) ou de fonctionnalités natives à partir d'autres langages comme Python.

Je voudrais échapper à dangerStr de sorte qu'il est sûr de se composer un exec chaîne comme ci-dessus. Si cela peut aider, dangerStr contiendra les données JSON.

Pour Bourne-type de coquilles que vous pouvez utiliser l'algorithme suivant pour sortir en toute sécurité des chaînes: 1) remplacer toutes les occurrences de l'apostrophe (') avec les quatre séquence de caractères apostrophe, barre oblique inverse, l'apostrophe, l'apostrophe ('\") 2) ajouter une simple citation du début et de la fin de la chaîne modifiée. Attaque et de fuite des apostrophes ne sont pas codés parfaitement efficace, mais il fonctionne encore— "devient" \ "" quand il pourrait être juste \'.
Pour plus de précision: il m'a fallu un peu de temps pour comprendre @ChrisJohnsen de conseils, mais il vérifie. Si vous voulez don't do that sur la coque, ne echo 'don'\''t do that' pour produire don't do that.

InformationsquelleAutor Maciek | 2009-11-22

-1

Il y a une façon d'écrire à une commande externe: process.createChildProcess (la documentation) retourne un objet avec un write méthode. createChildProcess n'est pas aussi pratique, car il n'a pas de tampon de sortie standard stdout et stderr, de sorte que vous aurez besoin de gestionnaires d'événements pour lire la sortie en morceaux.
```
var stdout = "", stderr = "";
var child = process.createChildProcess("someCommand");

child.addListener("output", function (data) {
    if (data !== null) {
        stdout += data;
    }
});
child.addListener("error", function (data) {
    if (data !== null) {
        stderr += data;
    }
});
child.addListener("exit", function (code) {
    if (code === 0) {
        sys.puts(stdout);
    }
    else {
        //error
    }
});

child.write("This goes to someCommand's stdin.");
```
- Intéressant.. Merci! BTW, La nouvelle URI est nodejs.org/api/child_process.html
- Vous n'avez pas expliquer rien au sujet d'échapper à des arguments.
- Cela ne répond pas à ce que l'OP a demandé à parler, ce qui est d'échapper arguments. L'utilisation de echo était juste un exemple. L'OP n'est pas juste essayer de diriger une chaîne à une commande. Ils essaient d'utiliser une chaîne de caractères arbitraire à la ligne de commande.
- Il ne répond pas à la question dans le titre, mais cela résout le problème en évitant complètement le problème. L'OP a accepté la réponse, donc, apparemment, il a aidé.
InformationsquelleAutor Matthew Crumley
36

C'est ce que j'utilise:
```
var escapeShell = function(cmd) {
  return '"'+cmd.replace(/(["\s'$`\\])/g,'\\\')+'"';
};
```
- Ce qui est en train de faire la première tranche? Dans la référence de l'api dit que les matches seulement si est la fin de la chaîne, mais ce n'est pas ce cas. J'ai essayé le string "/aPath'/avec/qu'otes'" (avis il se termine par des guillemets simples + le double), avec $ et sans $. Le résultat est le même.
- devient abc\$abc
- Pas besoin de esacpe $ si l'utilisation de l'apostrophe '
- Pourquoi les autres citer les types de besoin d'échapper à tous? Sans doute que le type de citation utilisée présente un danger.
- Cela semble erroné: il s'échappe foo bar comme "foo\ bar", qui sera analysée comme foo\ bar.
- Si vous utilisez l'apostrophe, vous ne pouvez pas utiliser la barre oblique inverse de l'encodage à tous comme l'antislash est un caractère ordinaire dans apostrophes. Comment voulez-vous alors échapper un caractère d'apostrophe dans la chaîne? À droite, vous ne pouvez pas. C'est pourquoi vous ne devez pas utiliser l'apostrophe pour les chaînes de caractères que peut contenir une apostrophe.
- Citant des espaces (\s) est inutile si vous encapsuler le tout dans des guillemets doubles comme qui conserve automatiquement tous les espaces. Vous ne devez le faire que s'il n'y avait pas de guillemets autour de la chaîne, autrement, l'espace est vu comme un argument séparateur par le shell. Aussi, vous ne sont pas en citant l'espace correctement lorsque vous tournez un onglet dans \ mais la forme correcte serait \t.
- Cela semble être une invitation pour la commande de l'injection et de l'étrange cas limites de problèmes.
InformationsquelleAutor Sylvain Zimmer

Si vous avez besoin d'une solution simple que vous pouvez utiliser ceci:

function escapeShellArg (arg) {
    return `'${arg.replace(/'/g, `'\\''`)}'`;
}

De sorte que votre chaîne sera tout simplement échappé avec des guillemets simples comme Chris Brown mentionné.

echo 'John'\''s phone';

Il travaille dans bash en raison de forte citant, se sent comme il travaille également dans fish, mais ne fonctionne pas dans zsh et sh.

Si vous avez bash votre pouvez exécuter votre script dans sh ou zsh avec 'bash -c \'' + escape('all-the-rest-escaped') + '\''.

Mais en fait... node.js va s'échapper tous les caractères nécessaires pour vous:

var child = require('child_process')
  .spawn('echo', ['`echo 1`;"echo $SSH_TTY;\'\var child = require('child_process')
.spawn('echo', ['`echo 1`;"echo $SSH_TTY;\'\\0{0..5}']);
child.stdout.on('data', function (data) {
console.log('stdout: ' + data);
});
child.stderr.on('data', function (data) {
console.log('stderr: ' + data);
});
{0..5}']);

child.stdout.on('data', function (data) {
  console.log('stdout: ' + data);
});

child.stderr.on('data', function (data) {
  console.log('stderr: ' + data);
});

ce bloc de code s'exécute:

echo '`echo 1`;"echo $SSH_TTY;'\''\echo '`echo 1`;"echo $SSH_TTY;'\''\\0{0..5}'
{0..5}'

et de sortie:

stdout: `echo 1`;"echo $SSH_TTY;\'\stdout: `echo 1`;"echo $SSH_TTY;\'\\0{0..5}
{0..5}

ou une erreur.

Prendre un coup d'oeil à http://nodejs.org/api/child_process.html#child_process_child_process_spawn_command_args_options

Par la voie de solution simple à exécuter un tas de commandes est:

require('child_process')
  .spawn('sh', ['-c', [
    'cd all/your/commands',
    'ls here',
    'echo "and even" > more'
  ].join('; ')]);

Have a nice day!

InformationsquelleAutor Alex Yaroshevich

7

Vous doit jamais s'appuyer sur la fuite des inconnus entrée d'aller à un shell paramètre - il y aura presque toujours une pointe de cas que vous n'avez pas pensé à cela permet à l'utilisateur d'exécuter du code arbitraire sur votre serveur.

Nœud a un support pour l'appel d'une commande et en passant chaque argument séparément, sans échapper nécessaire. C'est le plus sûr moyen de le faire:
```
const { spawn } = require('child_process');
//Note that the arguments are in an array, not using string interpolation
const ls = spawn('ls', ['-lh', '/usr']);

ls.stdout.on('data', (data) => {
  console.log(`stdout: ${data}`);
});

ls.stderr.on('data', (data) => {
  console.log(`stderr: ${data}`);
});

ls.on('close', (code) => {
  console.log(`child process exited with code ${code}`);
});
```
La documentation est ici

InformationsquelleAutor Will Richardson
-2

Si vous aussi vous devez traiter avec un caractère spécial (sauts de lignes, etc.) vous pouvez le faire de cette façon:
```
str = JSON.stringify(str)
    .replace(/^"|"$/g,'') //remove JSON-string double quotes
    .replace(/'/g, '\'"\'"\'') //escape single quotes the ugly bash way
```
Cela suppose que vous utilisez Bash est fort-citation par des guillemets simples) et le récepteur peut comprendre JSON C comme pour échapper à.

InformationsquelleAutor MicMro

Vous devez vous connecter pour publier un commentaire.