python shlex

python shlex

核心函数

1. shlex.split(s, comments=False, posix=True)

• 作用：将字符串按类似 Shell 的语法规则分割成参数列表，常用于安全处理命令行输入。
• 参数说明：
  s（必需）: 待分割的字符串（如 “ls -l ‘file name’”）。
  comments（默认 False）: 是否保留注释（以 # 开头的内容）。
  posix（默认 True）: 是否启用 POSIX 模式（正确处理引号和转义符）。

import shlex 
print(shlex.split("echo  'Hello World'"))  # 输出：['echo', 'Hello World']
print(shlex.split("ls  #注释", comments=True))  # 输出：['ls', '#注释']

2. shlex.quote(s)

• 作用：对字符串进行安全 Shell 转义，防止命令注入攻击。
  参数：
• s: 需要转义的字符串（如包含空格或特殊字符的路径）。

filename = "file; rm -rf /"
safe_cmd = f"ls {shlex.quote(filename)}"   # 输出：ls 'file; rm -rf /'

3. 举例

• 场景：执行带有空格和引号的命令

import shlex 
import subprocess 
 
# 原始命令字符串（含空格文件名）
cmd_str = 'ls -l "my document.txt"' 
 
# 使用 shlex 安全分割 
args = shlex.split(cmd_str) 
print("分割后的参数列表:", args)  
# 输出: ['ls', '-l', 'my document.txt'] 
 
# 执行命令 
result = subprocess.run(args,  capture_output=True, text=True)
print("执行结果:", result.stdout) 
# 输出 -rw-r--r-- 1 user group 1024 Feb 19 21:00 my document.txt  

• 场景：通过管道传递数据

cmd_str = 'echo "Hello | World" | grep "World"'
args = shlex.split(cmd_str) 
 
# 使用 shell=True 启用管道功能（需谨慎）
result = subprocess.run(args,  shell=True, capture_output=True, text=True)
print("分割后的参数列表:", args)  # 输出: ['echo', 'Hello | World', '|', 'grep', 'World']
print("执行结果:", result.stdout)   # 输出: Hello | World 

* 关键说明:
	* 若 shell=False（默认），管道符 | 会被视为普通字符导致失败
	* 此处 shell=True 仅为演示管道功能，实际建议用 subprocess.PIPE 替代 

• 场景：执行含变量和引号的命令

cmd_str = 'python -c "import os; print(os.getenv(\'USER\'))"' 
args = shlex.split(cmd_str) 
 
# 执行并捕获输出 
result = subprocess.run(args,  capture_output=True, text=True)
print("分割后的参数列表:", args)
# 输出: ['python', '-c', 'import os; print(os.getenv(\'USER\'))'] 
 
print("用户环境变量值:", result.stdout.strip())   # 输出: admin 

• 根据用户输入动态生成命令

user_input = 'file with spaces.log' 
cmd_str = f'grep "error" {shlex.quote(user_input)}'   # 自动添加引号 
args = shlex.split(cmd_str) 
 
print("安全分割后的命令:", args)  
# 输出: ['grep', 'error', 'file with spaces.log'] 
 
# 执行命令 
subprocess.run(args) 

• 综合案例：执行复杂查找命令

cmd_str = 'find /logs -name "*.log" -exec grep -H "404" {} \;'
args = shlex.split(cmd_str) 
 
result = subprocess.run( 
    args, 
    stdout=subprocess.PIPE, 
    text=True,
    check=True 
)
print("找到的404错误日志:")
print(result.stdout) 

* 预期输出示例
* /logs/access.log:127.0.0.1  - [404] GET /missing-page 
* /logs/nginx/error.log:[404]  File not found: /old-link 

• 总结
  • 安全分割：shlex.split() 可正确处理空格、引号等特殊字符 13
  • 避免命令注入：优先使用列表参数 + shell=False（默认）
  • 管道处理：需要管道功能时配合 shell=True，但需严格验证输入
  • 动态命令构建：使用 shlex.quote() 处理用户输入中的特殊字符