我有一个 shell 脚本:
#!/bin/sh
#file name : eg.1
X=$1
eval "$X"
如果我以组用户或其他用户身份启动此脚本,是否会引发任何安全问题?
最佳答案
eval 命令非常强大,而且非常容易被滥用。
它会导致您的代码被解析两次而不是一次;这意味着,例如,如果您的代码中有变量引用,则 shell 的解析器将评估该变量的内容。如果变量包含 shell 命令,则 shell 可能会运行该命令,无论您是否愿意。这可能会导致意外结果,尤其是当可以从不受信任的来源读取变量时。
示例
# This code is evil and should never be used!
fifth() {
_fifth_array=$1
eval echo "\"The fifth element is \${$_fifth_array[4]}\"" # DANGER!
}
a=(zero one two three four five)
fifth a
输出
fifth 'x}"; date; #'
The fifth element is Thu Mar 27 16:13:47 EDT 2014
more details
关于linux - 该文件涉及什么安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24227168/