我有一个 PHP 应用程序需要输出一个 python 脚本,更具体地说是一堆变量赋值语句,例如。
subject_prefix = 'This String From User Input'
msg_footer = """This one too."""
需要写入subject_prefix等内容来接受用户输入;因此,我需要转义字符串的内容。像下面这样写是不会成功的;一旦有人使用引号或换行符或任何其他我不知道可能有危险的东西,我们就会被塞满:
echo "subject_prefix = '".$subject_prefix."'\n";
所以。有什么想法吗?
(由于时间限制,无法用 Python 重写应用程序。:P)
多年后编辑:
这是为了集成网络应用程序(用 PHP 编写)和 Mailman(用 Python 编写)。我无法修改后者的安装,所以我需要想出一种用它的语言交谈的方法来管理它的配置。
这也是一个非常的坏主意。
最佳答案
不要尝试用 PHP 编写此函数。您不可避免地会出错,并且您的应用程序将不可避免地具有任意远程执行漏洞。
首先,考虑您实际要解决的问题是什么。我假设您只是想从 PHP 获取数据到 Python。您可能会尝试编写 .ini 文件而不是 .py 文件。 Python 有一个优秀的 ini 语法分析器,ConfigParser .您可以在 PHP 中编写明显且可能不正确的引用函数,如果(读作:何时)您弄错了,则不会发生任何严重的事情。
您还可以编写一个 XML 文件。 PHP 和 Python 的 XML 解析器和发射器太多,我什至无法在此处列出。
如果我真的不能让你相信这是一个非常糟糕的想法,那么你至少可以使用 Python 已经存在的函数来做这样的事情:repr()
。
这是一个方便的 PHP 函数,它将运行一个 Python 脚本来为您执行此操作:
<?php
function py_escape($input) {
$descriptorspec = array(
0 => array("pipe", "r"),
1 => array("pipe", "w")
);
$process = proc_open(
"python -c 'import sys; sys.stdout.write(repr(sys.stdin.read()))'",
$descriptorspec, $pipes);
fwrite($pipes[0], $input);
fclose($pipes[0]);
$chunk_size = 8192;
$escaped = fread($pipes[1], $chunk_size);
if (strlen($escaped) == $chunk_size) {
// This is important for security.
die("That string's too big.\n");
}
proc_close($process);
return $escaped;
}
// Example usage:
$x = "string \rfull \nof\t crappy stuff";
print py_escape($x);
chunk_size
检查旨在防止您的输入最终变成两个非常长的字符串的攻击,看起来像 ("hello "+ ("."* chunk_size))
和 '; os.system("do bad stuff")
分别。现在,这种天真的攻击将无法正常工作,因为 Python 不会让单引号字符串在一行的中间结束,并且 system()
调用中的那些引号本身将被引用,但是如果攻击者设法将续行符 ("\") 放到正确的位置并使用类似 os.system(map(chr, ...))
的东西,那么他们就可以注入(inject)一些代码它将运行。
我选择只读取一个 block ,如果有更多输出就放弃,而不是继续读取和积累,因为Python源文件行长度也有限制;据我所知,这可能是另一种攻击媒介。 Python 并非旨在防止任意人员在您的系统上编写任意源代码,因此该区域不太可能被审计。
我不得不为这个微不足道的例子考虑所有这一切,这只是为什么你不应该使用 python 源代码作为数据交换格式的另一个例子。
关于php - 在 PHP 中转义 Python 字符串的最佳方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/196771/