0
我在Azure服務器上運行燒瓶並使用POST將表單中的數據作爲python腳本的參數發送。在網頁中顯示python腳本輸出[服務器運行燒瓶]
下面是如何傳遞參數給腳本並運行它
os.system("python3 script.py " + postArgument)
輸出通常顯示在日誌中,因爲它會在終端上。
如何將輸出回到新的網頁上?
A
回答
1
您可以使用管道,這是它是如何做
os.popen("python3 script.py " + postArgument).read()
從安全的角度來看,我會建議你做的postArguements一些理智檢查使用
編輯之前:回答評論問爲什麼健全性檢查
該代碼難以忍受指令注入
命令注入是一種攻擊,其目標是通過易受攻擊的 應用程序在主機操作系統上執行 任意命令。當一個 應用程序將不安全的用戶提供的數據(表單,cookie,HTTP 頭等)傳遞給系統shell時,命令注入攻擊是可能的。在這次攻擊中,攻擊者提供的 操作系統命令通常以 的特權執行。由於輸入驗證不足,命令注入攻擊可能是 。
讓我儘量表現出不可能性攻擊你的情況 如果
postArgument = "blah ; rm -rf /"
然後
os.popen("python3 script.py " + postArgument).read()
將equalent到
os.popen("python3 script.py blah ; rm -rf /").read()
這將嘗試刪除系統中的所有文件。
如何避免這種 要麼使用pipes.Quote
import pipes
p = os.popen("python3 script.py " + pipes.quote(postArgument)).read()
或使用subprocess,這是因爲os.popen recomended是depricated
import subprocess
p = subprocess.Popen(["python3", "script.py", postArguemnt])
讀here有關命令注入
+0
你能解釋一下你說的「完整性檢查」嗎? –
+1
閱讀有關命令注入https://www.owasp.org/index。php/Command_Injection –
+0
@KalolParty我已經更新了有關完整性檢查的詳細答案。請接受答案,如果它有幫助 –
相關問題
- 1. 在燒瓶中運行腳本背景
- 2. 在燒瓶腳本上燒瓶部署燒瓶腳本
- 3. Python燒瓶以及如何在網頁中顯示代碼
- 4. 在Jupyter筆記本中顯示燒瓶應用程序輸出
- 5. 燒瓶只返回運行腳本
- 6. 在本地GAE服務器上運行燒瓶時出錯[Errno 13]
- 7. 在服務器上運行Python腳本?
- 8. PHP腳本仍在服務器上運行,但網頁顯示已停止
- 9. 開始燒瓶開發服務器時運行shell腳本/命令
- 10. 網絡服務器:如何從本地網頁運行python腳本
- 11. 燒瓶權限訪問被拒絕在服務器上顯示
- 12. 運行WCF服務時顯示網頁
- 13. 如何在燒瓶中顯示多行?
- 14. 用Apache替換燒瓶內部網頁服務器
- 15. 安排一個python腳本在網絡服務器上運行
- 16. 在網絡服務器之外運行python腳本
- 17. 如何在網絡服務器上運行Python腳本
- 18. 運行在網站上的Python服務器腳本程序?
- 19. 在本地服務器上運行python腳本只顯示源代碼
- 20. Python - 燒瓶 - 在默認瀏覽器中打開兩個網頁
- 21. 運行瓶服務器
- 22. python燒瓶partically更新網頁
- 23. 從服務器1使用主機從服務器2運行燒瓶
- 24. 燒瓶服務器運行錯誤程序
- 25. 如何停止的燒瓶服務器上運行GEVENT-socketio
- 26. 在網頁中顯示正在運行的服務
- 27. Python燒瓶獲取JSON數據顯示
- 28. Python燒瓶|顯示帖子評論
- 29. 將python腳本輸出到網頁
- 30. 使REST調用燒瓶服務運行在不同的端口
你爲什麼不能導入這個腳本並運行它?你不需要使用操作系統命令 –