以编程方式安全地执行 shell 命令

Question

可以通过调用执行shell命令的system函数来执行shell命令。

这显然不安全，因为有人可以滥用程序并执行攻击者特定的操作系统命令。

系统man page建议使用exec(3)函数：

不要使用特权程序（set-user-ID 或 set-group-ID 程序，或具有功能的程序），因为 某些环境变量的奇怪值可能用于 颠覆系统完整性。例如，可以操纵 PATH 以便以特权执行任意程序。使用 exec(3) 系列函数，而不是 execlp(3) 或 execvp(3)（也使用 PATH 环境变量来搜索 对于可执行文件）。

虽然我不太了解其中的区别。是的，权限可能会有所不同，但我们仍然执行 os 命令并且它仍然容易受到攻击，不是吗？我错过了什么吗？

如何安全地执行系统命令而不用担心会被滥用？

Answer 1

我们仍在执行 os 命令，它仍然很脆弱，不是吗？

想象一下下面的 C 程序（为了清楚起见，忽略所需的 C 错误处理）：

char file[20];
fgets(file, sizeof(file), stdin);
file[strcspn(file, "\n")] = 0; // https://stackoverflow.com/questions/2693776/removing-trailing-newline-character-from-fgets-input
char cmd[200];
snprintf(cmd, sizeof(cmd), "touch %s", file);
system(cmd);

一切正常 - 一个创建文件的简单程序。但现在我运行程序并输入：

file; sudo rm -r /

那么会发生什么，file="file; sudo rm -r /" 然后cmd="touch file; sudo rm -r /" 和结果system 命令运行touch file 然后运行sudo rm -r / 删除所有文件并造成灾难性损坏。

相比之下：

execl("touch", "touch", file, NULL);

将始终只运行touch（在当前目录中），而touch 将只尝试触摸一个直接命名为file; sudo rm -rf / 的目录（因为尾随/）。 （但是PATH 可以被操纵，touch 可执行文件可以被替换，这就是为什么使用execv 而不是execl - 你的报价说明了这一点。