Perlowy odpowiednik języka PHP escapeshellarg

Question

Aby uciec od łańcucha, który ma być używany jako argument powłoki, używamy funkcji escapeshellarg() w PHP. Czy Perl ma równoważną funkcję?

Answer 1

String::ShellQuote, ale przez większość czasu nie jest to konieczne. Po prostu można uniknąć wywoływania powłoki przez ostrożne programowanie. Na przykład: system takes a list of arguments zamiast ciągu.

Najlepsza praktyka:

use IPC::System::Simple qw(systemx); 
systemx($command, @arguments); 

---

require IPC::System::Simple; 
use autodie qw(:all); 
system([@allowed_exit_values], $command, @arguments); 

Answer 2

Perl można dopasować następujące stwierdził funkcję:

dodaje apostrofów wokół sznurka i cytaty/ucieka istniejące apostrofów

http://php.net/manual/en/function.escapeshellarg.php#function.escapeshellarg

tak:

sub php_escapeshellarg { 
    my $str = @_ ? shift : $_; 
    $str =~ s/((?:^|[^\\])(?:\\\\)*)'/$1'\\''/g; 
    return "'$str'"; 
} 

Answer 3

muszę zgodzić się z @daxim. Ale są pewne okoliczności, w których nie można tego użyć, jak przekazanie polecenia przez gniazdo do programu, który nie jest perl lub nie ma dostępnego modułu IPC. Spojrzałem również na wyrażenie regularne podane przez @axeman i wydaje mi się to nieco skomplikowane. Mogę się mylić, ale myślę, że nie musisz uciekać odskoków odwrotnych w ciągu pojedynczych ciągów znaków dla polecenia. Więc może po prostu to zrobić:

sub escapeshellarg { 
    my $arg = shift; 

    $arg =~ s/'/'\\''/g; 
    return "'" . $arg . "'"; 
} 

Jeśli ktoś ma jakiś powód, dlaczego może to być niebezpieczne, chciałbym wiedzieć. Przetestowałem to używając wszelkiego rodzaju sztuczek, które mogłem wymyślić, aby powłoka wykonywała dowolny kod, bez powodzenia, co powoduje, że myślę, że to wyrażenie regularne jest takie samo jak implementacja PHP.

W implementacji PHP stwierdza, że ​​wszystko, co robi, to: dodaje pojedyncze cudzysłowy wokół ciągu i cytuje/wymyka się z istniejących pojedynczych cudzysłowów.

To jedyna rzecz, którą robi to wyrażenie regularne. Myśli?

Answer 4

Ten działa na mnie w bash

sub escape_shell_param($) { 
    my ($par) = @_; 
    $par =~ s/'/'"'"'/g; # "escape" all single quotes 
    return "'$par'";  # single-quote entire string 
} 

Jest on oparty na poniższych stwierdzeń pobranych ze strony BASH Man:

1. załączając znaków w apostrofy chroni dosłowne wartości każdy znak w cudzysłowie.
2. Pojedynczy cudzysłów nie może występować między pojedynczymi cudzysłowami, nawet jeśli poprzedza je odwrotny ukośnik.
3. Umieszczenie znaków w cudzysłowach zachowuje literalną wartość wszystkich znaków w cudzysłowach, z wyjątkiem $, `, \, i gdy rozszerzenie historii jest włączone,!.

Od (2.) wiemy, że odwrotny ukośnik nie może być użyty do uniknięcia pojedynczych pytań, ale z (3) sugeruje, że podwójne cudzysłowy zachowują literalną wartość pojedynczych cudzysłowów (znanych też jako ucieczka).

Należy również pamiętać, że jedynym celem cytatów jest zmiana znaczenia cytowanych znaków (nie są tworzone żadne specjalne obiekty typu string lub podobne rzeczy), a po rozwinięciu wszystkie kolejne znaki literalne są połączone. Następnie 'foo''bar' jest taki sam jak foobar.

Funkcja powyższa polega na pojedynczym zacytowaniu całego łańcucha, aby żaden znak nie miał specjalnego znaczenia. Jednak, aby umożliwić obecność znaków pojedynczego cudzysłowu, ciąg znaków jest dzielony, gdy tylko takie znaki zostaną znalezione, i wykonywane są następujące operacje: poprzedni podciąg jest sfinalizowany ('), następnie wprowadzany jest podwójny cudzysłów ("'") i rozpoczyna się następny podciąg ('). Dlatego ' jest globalnie zastępowany przez '"'"'.

Na przykład (pseudokod):

foo'bar => 'foo' + "'" + 'bar'