似乎每当我尝试使用Python的子进程模块时,我发现我仍然不了解某些事情。目前,我试图从Python模块中加入3 mp4文件。
当我尝试
时z ='MP4Box -cat test_0.mp4 -cat test_1.mp4 -cat test_2.mp4 -new test_012d.mp4'
subprocess.Popen(z,shell=True)
一切正常。
当我尝试
时z = ['MP4Box', '-cat test_0.mp4', '-cat test_1.mp4', '-cat test_2.mp4', '-new test_012d.mp4']
subprocess.Popen(z,shell=False)
我收到以下错误:
Option -cat test_0.mp4 unknown. Please check usage
我认为对于shell=False
我只需要提供一个列表,其中第一个元素是我想要运行的可执行文件,每个后续元素都是该可执行文件的参数。我是否误解了这个信念,或者是否有正确的方法来创建我想要使用的命令?
另外,在subprocess.Popen中是否有使用Shell=True
的规则?到目前为止,所有我真正知道的(?)都没有 - 你可以将你的代码暴露给Shell注入攻击"。为什么Shell=False
会避免这个问题?使用' Shell = True`是否真的有优势?
答案 0 :(得分:12)
如果shell为True
,则将通过shell执行指定的命令。如果您主要使用Python来提供大多数系统shell提供的增强控制流,并且仍然希望方便地访问其他shell功能,例如shell管道,文件名通配符,环境变量扩展,以及将~
扩展到用户的主目录。
shell=True
有危险吗?
如果我们执行可能包含来自不受信任来源的未命名输入的shell命令,则会使程序容易受到 shell注入,这是一个严重的安全漏洞,可能导致任意命令执行。因此,在从外部输入构造命令字符串的情况下强烈建议不要使用shell=True
EG。 (摘自docs)
>>> from subprocess import call
>>> filename = input("What file would you like to display?\n")
What file would you like to display?
non_existent; rm -rf / #
>>> call("cat " + filename, shell=True) # Uh-oh. This will end badly..
答案 1 :(得分:3)
您必须将每个参数作为列表的一个元素:
z = ['MP4Box', '-cat', 'test_0.mp4', '-cat', 'test_1.mp4', '-cat', 'test_2.mp4', '-new', 'test_012d.mp4']
subprocess.Popen(z,shell=False)
这通常是你想要做的,因为你不需要在文件名中转义shell的特殊字符。