主页 / 问题 / 1292961
Accepted
Mikhail Murugov
Asked:2022-06-08 13:50:19 +0000 UTC2022-06-08 13:50:19 +0000 UTC

java中是否有允许您转义shell令牌的库?

  • 772

有一个任务是在 SSH 上执行各种操作。例如,使用 SSH 通过 SSH 将文本写入文件

echo userInput > file

文本是用户输入。有哪些现成的解决方案可以逃避用户输入,从而避免 bash 注入?在 python 中,有一个内置的shlex模块,它带有必要的方法shlex.quote,对于 Java,我没有找到类似的东西。

java

1 个回答

  1. Best Answer

    原来shlex是用python自己写的(本来以为是编译好的C库),看方法实现也没问题quote

    _find_unsafe = re.compile(r'[^\w@%+=:,./-]', re.ASCII).search

def quote(s):
    """Return a shell-escaped version of the string *s*."""
    if not s:
        return "''"
    if _find_unsafe(s) is None:
        return s

    # use single quotes, and put single quotes into double quotes
    # the string $'b is then quoted as '$'"'"'b'
    return "'" + s.replace("'", "'\"'\"'") + "'"

    我的Java实现:

    import java.util.regex.Pattern;

public class Shlex {
    private static final Pattern UNSAFE_SYMBOLS = Pattern.compile("[^\\w@%+=:,./-]");

    private Shlex() {
    }

    public static String quote(String token) {
        if (token.isEmpty()) {
            return "''";
        }

        if (!UNSAFE_SYMBOLS.matcher(token).find()) {
            return token;
        }

        return "'" + token.replace("'", "'\"'\"'") + "'";
    }
}

    测试:

    import org.junit.Test;

import static org.junit.Assert.assertEquals;

public class ShlexTest {
    @Test
    public void quoteUnsafeString() {
        assertEquals("'sp ace'", Shlex.quote("sp ace"));

        String command = String.format("ls -l %s", Shlex.quote("somefile; rm -rf ~"));
        assertEquals("ls -l 'somefile; rm -rf ~'", command);

        String remote_command = String.format("ssh home %s", Shlex.quote(command));
        assertEquals("ssh home 'ls -l '\"'\"'somefile; rm -rf ~'\"'\"''", remote_command);
    }

    @Test
    public void quoteSafeString() {
        assertEquals("string", Shlex.quote("string"));
    }
}
    • 0

相关问题