Comment utiliser les sous-processus popen Python

Depuis os.popen est remplacé par un sous-processus.popen, je me demandais comment puis-je convertir des

os.popen('swfdump /tmp/filename.swf/-d')

de sous-processus.popen()

J'ai essayé:

subprocess.Popen("swfdump /tmp/filename.swf -d")
subprocess.Popen("swfdump %s -d" % (filename))  # NOTE: filename is a variable
                                                # containing /tmp/filename.swf

Mais je suppose que je ne suis pas correctement écris. Toute aide serait appréciée. Grâce

  • Est-ce une Machine Windows ou Linux de la machine ?
InformationsquelleAutor Stupid.Fat.Cat | 2012-09-26
  1. 117

    subprocess.Popen prend une liste d'arguments:

    from subprocess import Popen, PIPE

process = Popen(['swfdump', '/tmp/filename.swf', '-d'], stdout=PIPE, stderr=PIPE)
stdout, stderr = process.communicate()

    Il y a même un la section de la documentation qui se consacre à aider les utilisateurs à migrer à partir de os.popen à subprocess.

    • ou ajouter shell=True.
    • est pas recommandé.
    • Uniquement lorsqu'il est combiné avec non fiable entrée. Dans ce cas, vous pouvez l'utiliser correctement.
    • pourquoi est - shell=True n'est pas recommandé?
    • fine"? Comment savez-vous filename n'est pas dérivée de la saisie de l'utilisateur?
    • Graf Depuis il le dit dans le code. @Alex shell=True est considéré comme un risque pour la sécurité lorsqu'il est utilisé pour le processus, les données non fiables. Un attaquant habile peut modifier l'entrée pour accéder à l'arbitraire du système de commandes. E. g. par la saisie de filename.swf; rm -rf / pour la valeur de nom de fichier. Cependant, ce n'est un problème, lorsque le contenu de votre argument à Popen est précaire.
    • Il dit seulement ce qu'est un exemple de valeur de filename est, ou ai-je raté quelque chose?
    • Graf, De le fragment de code je doute fort que l'on entend dans un exemple de valeur, d'être rempli par les non fiables les données fournies par les utilisateurs. Mais je suis prêt à faire appel à une trêve sur ce point. Mon point était plus qu'il n'y a pas de raison de ne pas utiliser shell=True sauf lors de l'utilisation de non fiable entrée. Indiquant simplement que shell=True n'est pas recommandé, c'est trompeur.
    • Bien, et je doute fort que l'OP a /tmp/filename.swf codé en dur dans sa demande, mais au lieu de cela finit avec cette chaîne en faisant le chemin de la manipulation etc.., éventuellement sur la saisie de l'utilisateur. Mais à côté de ça, shell=True a d'autres inconvénients: Vous frayer un inutile shell processus qui n'est tout simplement pas nécessaire, dans ce cas, et en citant et en échappant peut être vraiment difficile.
    • P. S. Ne vous méprenez pas, je ne suis pas à essayer d'obtenir sur votre cas ici. C'est juste que vous semblez être au courant des risques liés à shell=True, mais n'importe quel utilisateur de tomber sur cette question est peut-être pas. C'est pourquoi je pense qu'il est important de souligner que shell=True en fait n'est pas recommandé, sauf si vous savez exactement ce que vous faites.
    • Si shell=True était si dangereux, il ne serait pas inclus dans subprocess.Popen() comme un argument mot-clé. Il y a des risques de sécurité impliqués dans l'exécution non fiables entrée de l'utilisateur et les avantages de l'utilisation d'un list pour tenir les composants de la commande est qu'elle s'échappe et correctement cite les arguments, qui peuvent inclure des caractères indésirables. shell=True peut être utilisé si vous êtes littéralement la traduction de commandes Bash pour Python (ou, corrigez-moi si je me trompe, de la tuyauterie de sortie de la commande ainsi).
    • Personne n'a dit que c'était dangereux - c'est simplement dangereux. Mais à côté de cela, votre argument n'a aucun sens du tout. De nombreux OS fonctions que le Python standard library expose sont potentiellement dangereux, de prendre shutil.rmtree par exemple. Mais qui n'a rien à voir avec le fait qu'ils sont inclus dans la stdlib ou pas. Je crois que la philosophie d'UNIX de "Unix n'a pas été conçu pour empêcher ses utilisateurs de faire des choses stupides, car cela empêcherait aussi de faire des choses intelligentes." s'applique également dans de grandes parties de Python.
    • Je n'ai pas un argument. Je dis juste que l'utilisation de shell=True est déconseillé lors de l'arbitraire d'entrée. La documentation dit: Pour cette raison, l'utilisation de shell=True est fortement déconseillée dans les cas où la chaîne de commande est construit à partir de l'entrée externe. Pourquoi donner la commande plus de chances d'échouer lorsque vous pouvez lui donner moins?
    • Je suis désolé, je ne comprends pas ce que tu veux dire par votre dernière phrase. Quant à votre argument, je faisais allusion à "Si shell=True fut si néfaste, il ne serait pas inclus". Mais de toute façon, je pense que nous sommes tous d'accord sur les faits techniques de toute façon 😉
    • ne devriez-vous pas être à l'aide de process.communicate() plutôt que process.stdout pour s'assurer que stderr est manipulé correctement?

    InformationsquelleAutor Blender
  2. 9

    Utilisation sh, ça va rendre les choses beaucoup plus facile:

    import sh
print sh.swfdump("/tmp/filename.swf", "-d")
    • le poisson, c'est bon, cependant, il n'est pas de même avec Popen de sous-processus. sh est comme avec l'appel de sous-processus.
    • sh est génial, mais lecteur attention, il ne prend pas en charge Windows
    InformationsquelleAutor amoffat