防止命令注入的关键是避免用户输入拼接shell命令,应使用subprocess列表调用且禁用shell=True;必须用shell时须转义或白名单校验,禁用os.system等危险函数,并以最小权限运行进程。
防止命令注入的关键是避免将用户输入直接拼接到 shell 命令字符串中。使用 subprocess 时,应优先采用列表形式调用、禁用 shell=True,并严格校验/过滤输入。
用列表传参,禁用 shell=True
这是最核心的安全实践。当以列表形式调用(如 subprocess.run(["ls", "-l", path])),Python 会绕过系统 shell,参数被原样传递给目标程序,不会触发 shell 解析,从而杜绝注入。
- ✅ 正确:传入参数列表,
shell=False(默认值) - ❌ 危险:拼接字符串 +
shell=True,例如subprocess.run(f"ls -l {user_input}", shell=True)—— 用户输入"; rm -rf /就可能执行任意命令
必须用 shell 时,严格转义或白名单校验
极少数场景需 shell 功能(如管道、通配符、重定向),此时若无法避免 shell=True,必须对用户输入做处理:
- 对不可信输入使用
shlex.quote()(仅适用于 POSIX shell)——它把字符串转为 shell 安全的单引号包裹形式,如shlex.quote("a b; c")→'a b; c' - 更推荐方式:不依赖转义,而是用白名单限制输入范围(如只允许字母、数字、下划线、指定后缀),或映射到预定义命令选项
- 避免对输入做“黑名单过滤”(如删掉
;、&),容易绕过
避免使用已弃用或高危函数
某些旧接口天然不安全,应主动规避:
立即学习“Python免费学习笔记(深入)”;
- 不用
os.system()、os.popen()、commands.getoutput()(Python 2)——它们都隐式调用 shell - 慎用
subprocess.Popen(..., shell=True),除非你明确知道为何需要且已做好防护 - 优先使用
subprocess.run()(Python 3.5+),它接口清晰、默认安全、错误处理友好
补充:环境与权限控制
即使代码层防护到位,运行时环境也影响最终安全性:
- 以最小权限运行进程(如不以 root 启动 Web 服务)
- 必要时通过
env=...参数显式控制子进程环境变量,避免继承危险配置 - 对敏感操作(如调用
git、convert、ffmpeg)额外审计其参数接受逻辑,防止工具自身解析漏洞被利用
