怎樣才能提供IPC ::通過用戶輸入設置的參數包含嵌入的運行空白

Question

的CentOS-6.8的Perl，v5.10.1（*）爲x86_64的Linux的線程多

這個問題從內置下降這一個Where is the shell command called which invokes OpenSSL commands?。簡而言之，我正在竊聽用於維護內部私有PKI的非常古老的Perl腳本，以便默認簽名哈希和密鑰大小滿足當前瀏覽器的要求。

我有這些代碼段：

. . .  
$args->{keypass} = $self->getPassword("Private key password",1) 
    unless $args->{keypass};  
$self->warn("# Password argument: $args->{keypass}\n") if $ENV{CSPDEBUG}; 
my $cmd = "-out $args->{keyfile} $args->{keysize}"; 
$cmd = "-des3 -passout pass:$args->{keypass} ".$cmd if defined($args->{keypass}); 
$self->{openssl}->cmd('genrsa',$cmd,$args); 
. . . 
$self->{openssl}->cmd('req',"-x509 $common_args -new -out $cacert",$args); 
. . . 
use IPC::Run qw(start pump finish timeout new_appender new_chunker); 
. . . 
sub cmd 
    { 
    my $self = shift; 
    my $cmd = shift; 
    my $cmdline = shift; 
    my $args = shift; 
    my $conf; 
    my $cfgcmd; 
. . . 
    $self->{_handle}->pump while length ${$self->{_in}}; 
. . . 

如果密碼參數值，所述用戶提供不包含空白然後根據需要此代碼執行。如果它包含嵌入式的空白空間，那麼代碼會自動失敗。如果傳遞給keypass的參數與開始和結束單引號連接，那麼代碼同樣會失敗。在兩種失敗案例中，腳本都報告成功。

爲什麼？

無論用戶輸入是否包含空格，該代碼是否有效需要進行哪些更改？

Answer 1

要回答你的文字問題，讓我quote the IPC::Run manual：

「run()，start()和harness()可以拿線束規格爲輸入線束規格可以是一個單一字符串傳遞到系統'shell [＆hellip;]或要執行的命令，io操作和/或定時器/超時列表。「

爲了防止命令參數被shell解析（當參數包含空格時會導致事件中斷），您不應該將它們作爲單個字符串傳遞，而應該作爲對包含每個單獨的參數作爲一個字符串，像這樣：

my @cmd = ("-out", $args->{keyfile}, $args->{keysize}); 
unshift @cmd, ("-des3", "-passout", "pass:$args->{keypass}") if defined $args->{keypass}; 
# ... 
my $h = start ["openssl", "genrsa", @cmd], \$in, \$out; # or something equivalent 

（你已經發布的代碼似乎是使用IPC ::通過一些自定義的界面層運行，因爲你還沒有我們究竟出什麼層看起來像，我已經用IPC :: Run :: start的簡單調用來代替它。）

---

在任何情況下，請注意在命令行上傳遞密碼通常被認爲是不安全的：如果任何不受信任的用戶可以在同一臺服務器上運行代碼（即使在非特權帳戶下），只需運行ps ax即可看到密碼。 openssl manual注意到這一點，並警告pass:password「只能用於安全性不重要的地方。」

一個更安全的選擇是send the password over a separate file descriptor。方便地，IPC :: Run使這非常容易：

my @cmd = ("-out", $args->{keyfile}, $args->{keysize}); 
unshift @cmd, ("-des3", "-passout", "fd:3") if defined $args->{keypass}; 
# ... 
my $h = start ["openssl", "genrsa", @cmd], '<', \$in, '>', \$out, '3<', \$args->{keypass}; 

這裏，密碼通過文件描述符編號3傳遞;如果您需要傳入多個密碼，則可以使用文件描述符4,5等。 （描述符0,1和2是stdin，stdout和stderr。）

^{聲明：這顯然是所有未經測試的代碼。我不是IPC :: Run的專家，所以我可能犯了一些愚蠢的命令語法錯誤或其他錯誤。使用前請仔細測試！}