你应该将 `shell=True` 与 Python 的 `subprocess` 模块一起使用吗？

Subprocess 模块中 'shell=True' 的意义

subprocess 模块方便各种流程的执行。然而，理解“shell=True”参数的作用至关重要。

考虑下面的代码片段：

callProcess = subprocess.Popen(['ls', '-l'], shell=True)

callProcess = subprocess.Popen(['ls', '-l']) # without shell

两个代码块都执行“ls -l”命令，但第一个代码中“shell=True”的存在会产生重大影响。当 'shell=True' 时，命令通过系统的 shell 执行（在 POSIX 上由 SHELL 环境变量指定，在 Windows 上由 cmd.exe 指定）。相比之下，如果没有 'shell'，则直接启动进程。

使用 Shell 的好处：

• 环境变量扩展： shell 解释并扩展环境变量，例如 $HOME，命令。
• 文件全局扩展： 在 POSIX 系统上，文件全局（例如“.”）由 shell 扩展为文件列表。

不使用的好处Shell：

• 避免神秘程序调用：没有 shell，执行的确切程序是已知的，避免潜在的用户控制变化。
• 防止 ILS 攻击： 利用 shell 解释漏洞（例如，无意的命令注入）

推荐做法：

一般情况下，建议使用 'shell=False'，原因如下：

• 安全性：避免潜在的风险
• 透明度：直接执行指定的程序，而不引入任何其他解释层。
• 效率：可以更快，尤其是使用简单的命令.

因此，除非明确需要环境变量扩展或文件 glob 扩展，否则建议使用 'shell=False' 以提高安全性和效率。

以上是你应该将 `shell=True` 与 Python 的 `subprocess` 模块一起使用吗？的详细内容。更多信息请关注PHP中文网其他相关文章！