https://www.opennet.ru/openforum/vsluhforumID10/5669.html Всем здравствуйте. Хочется критики, суть такая, есть lua (не хихикать) скрипт например который через io.popen() выполняет одни команды читая вывод и опять через io.popen() передаёт этот вывод как ввод другой команде, вроде всё просто. Но хочется чтобы даже в теории не было так (из за бага/просто кривых рук/положения Венеры в созвездии стрельца) что ввод одной команды попав в popen() как есть не исполнился, чтобы данные были только данными и никак не обрабатывались оболочкой (не исполнялись команды, не обрабатывались спецсимволы оболочки).<br><br>Хорошо, тут вот https://www.opennet.ru/docs/RUS/bash_scripting_guide/c1833.html указано про экранирование в одинарные кавычки с учётом вложенных ежели таковые имеются. Теперь данные это просто данные и не происходит никакой магии, единственное что если эти данные например 'pwd' будут исполнены попав в оболочку, но подумалось что если добавить тупо пробел то что угодно типа 'rm ' уже ну никак не сможет быть исполнено так как оболочка будет искать в PATH как есть вместе https://www.opennet.ru/openforum/vsluhforumID10/5669.html#8 Mon, 07 Oct 2024 11:17:44 GMT &gt;пробел в конце<br><br>Тебе не нужен пробел в конце, если ты заэкранировал каждый аргумент и гарантированно контролируешь первое слово в команде. Лучше озаботься валидацией вот этого первого слова-команды.<br><br>Если ты вызываешь стандартные утилиты, которые понимают -- как запрет чтения флагов, выставляй -- перед данными.<br> https://www.opennet.ru/openforum/vsluhforumID10/5669.html#7 Mon, 07 Oct 2024 11:12:08 GMT Хочу похихикать.<br><br>&gt;через io.popen()<br><br>Родина дала им execl - на, пользуйся! Не хочу, хочу popen!<br>В следующий раз пользуйся тем, у чего есть execl/v()/spawnl/v(). Потому что кто-то (может, даже ты) обязательно не будет экранировать ввод и засунет в popen что не надо.<br><br>&gt;есть ли подвох?<br>&gt;text:gsub("'", "'\\''")<br><br>Частично есть. Никогда не обрабатывай на самом деле структурированные (массив, ага) строковые данные с помощью инструментов манипуляции строк. Все эти gsub, split и strip сразу на помойку, если это что-то сложнее базового CSV (и то для CSV в AWK придумали режим). Это что-то типа парсинга HTML регулярками.<br><br>В popen ты должен совать именно сджойненный массив экранированных слов. Экранируешь каждый аргумент, а не всю строку. И вот тогда, когда у тебя внутри escape будет целый аргумент как строка, можешь использовать gsub.<br><br>Короче, сделай себе на popen popenl, который будет принимать МАССИВ и его экранировать по отдельности и будет тебе счастье.<br> https://www.opennet.ru/openforum/vsluhforumID10/5669.html#6 Mon, 07 Oct 2024 10:33:03 GMT &gt;[оверквотинг удален]<br>&gt; Есть ли подвох?<br>&gt; P.S Да я знаю про пайпы просто шела <br>&gt; [code] <br>&gt; app1 &#124; app2 <br>&gt; [/code] <br>&gt; Но, не все программы умеют читать из стандартного ввода, промежуточные данные могут <br>&gt; быть как-то в середине модифицированы (для этого lua мне и нужна) <br>&gt; вызовы через popen это просто взять данные в одном месте, обработать <br>&gt; на lua, передать дальше. И вот про это "передать" я вот <br>&gt; балакаю :) <br><br>если башизмов не боитесь - printf "%q" 'ЧтоУгодно'<br> https://www.opennet.ru/openforum/vsluhforumID10/5669.html#5 Sun, 14 Apr 2024 18:46:27 GMT &gt; man xargs <br>&gt; Никогда не надо ничего дергать изнутри программы.<br><br>Тогда не будет целого пласта программ. Которые внутри себя запускают другие программы<br> https://www.opennet.ru/openforum/vsluhforumID10/5669.html#4 Sat, 16 Mar 2024 18:10:14 GMT man xargs<br>Никогда не надо ничего дергать изнутри программы. <br> https://www.opennet.ru/openforum/vsluhforumID10/5669.html#3 Fri, 15 Mar 2024 10:43:23 GMT Строки конвертируй в hex.<br> https://www.opennet.ru/openforum/vsluhforumID10/5669.html#2 Fri, 15 Mar 2024 09:59:23 GMT &gt; юзай экспорт и энвирон<br><br>Из коробки в lua нет setenv только getenv, не ну можно через luajit FFI дёрнуть, но хочется любую луа без ограничений от 5.1 и до победного, короче без всяких особенностей. <br><br>Но, через переменные окружения конечно в целом тоже вариант, но мне больше в данный момент интересно является ли обрамление в (плюс экранирование внутренних) одинарные кавычки плюс пробел в конце (ну или в начале или и там и там не суть) достаточным, вроде по логике да.<br><br> 1 - одинарные кавычки делают из строки реально просто строку и всё "как-есть" байтовый блоб<br> 2 - пробел в конце гарантированно ломает попытку шелла исполнить такое 'ls ' так как таких исполняемых файлов не существует (если не создать специально) для надёжности можно так ' ls ' если данные нужны без них можно внутри принимающей программы просто по дефолту игнорировать первый и последний символы и всё (на это я могу пойти), больше важен именно интерфейс туда/сюда, простой и надёжный как тапка. <br> <br>И всё, и вроде как все проблемы решены раз https://www.opennet.ru/openforum/vsluhforumID10/5669.html#1 Fri, 15 Mar 2024 09:14:47 GMT &gt;[оверквотинг удален]<br>&gt; Есть ли подвох?<br>&gt; P.S Да я знаю про пайпы просто шела <br>&gt; [code] <br>&gt; app1 &#124; app2 <br>&gt; [/code] <br>&gt; Но, не все программы умеют читать из стандартного ввода, промежуточные данные могут <br>&gt; быть как-то в середине модифицированы (для этого lua мне и нужна) <br>&gt; вызовы через popen это просто взять данные в одном месте, обработать <br>&gt; на lua, передать дальше. И вот про это "передать" я вот <br>&gt; балакаю :) <br><br>юзай экспорт и энвирон, таблицу эскейпов я тебе не вспомню, сам хочу запилить экранизатор, в сторону printf %q посмотри еще<br>