如何解决如何安全地将用户输入的文件名传递给 ImageMagick?
我正在使用 Python 生成一个 ImageMagick bash 命令。类似的东西
import subprocess
input_file = "hello.png"
output_file = "world.jpg"
subprocess.run(["convert",input_file,output_file])
在 input_file
或 output_file
之前可能有更多参数的地方。我的问题是,如果其中一个文件名是用户提供的,并且用户提供的文件名可以解析为 ImageMagick 的命令行选项,那不是不安全吗?
解决方法
如果文件名以破折号开头,ImageMagick 确实会认为这是一个选项而不是文件名。大多数程序 - 包括 AFIK 和 ImageMagick 命令行工具 - 遵循双破折号 (--
) 表示选项结束的约定。如果你做一个
subprocess.run(["convert","--",input_file,output_file])
在这方面你应该是安全的。
,从 man
页面(和一些测试)来看,convert
需要一个输入文件和一个输出文件。如果您只允许使用两个标记,并且文件名被解释为一个选项,那么 convert
将至少丢失一个文件,因此您会收到一条丑陋的消息,但您应该没问题。
否则你可以在任何以 -
开头的文件名前加上 ./
(除了 -
本身,它是标准输入或标准输出取决于位置),这样它就成为一个明确的文件同一文件的路径。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。