我有一个Web服务,将从认证机器的一些输入作为
XML(这是一个网络管理系统,我正在与其他一些软件集成),并执行一个shell脚本与一些XML数据作为参数.
在Java(/ Linux)中,逃避shell命令的最佳方法是什么,以确保有人不能将恶意参数传递给我的webservice?
基本上,在一个非常简单的例子中,Im通过WS通过一些输入
<foo> <bar>ABCDEF</bar> </foo> then running somescript.pl <<data in <bar> field>> here
我需要确保这不能用于执行任意shell命令等.
谢谢!
我建议使用ProcessBuilder或者一个不运行shell的Runtime.exec方法,因此不需要shell转义,以避免注入攻击(这里).
> ProcessBuilder – 比Runtime.exec更灵活.
> Runtime.exec(String[]) – 不同于只需要一个String的形式
考虑使用该过程的STDIN管道传输XML数据也是有益的 – Perl可以轻松处理STDIN的读取.命令行参数通常有限制.
快乐编码.
