我有一个Web服务,将从认证机器的一些输入作为
XML(这是一个网络管理系统,我正在与其他一些软件集成),并执行一个shell脚本与一些XML数据作为参数.
在Java(/ Linux)中,逃避shell命令的最佳方法是什么,以确保有人不能将恶意参数传递给我的webservice?
基本上,在一个非常简单的例子中,Im通过WS通过一些输入
<foo> <bar>ABCDEF</bar> </foo> then running somescript.pl <<data in <bar> field>> here
我需要确保这不能用于执行任意shell命令等.
谢谢!
我建议使用ProcessBuilder或者一个不运行shell的Runtime.exec方法,因此不需要shell转义,以避免注入攻击(这里).
> ProcessBuilder – 比Runtime.exec更灵活.
> Runtime.exec(String[]) – 不同于只需要一个String的形式
考虑使用该过程的STDIN管道传输XML数据也是有益的 – Perl可以轻松处理STDIN的读取.命令行参数通常有限制.
快乐编码.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。