PHP的escapeshellarg的Perl等效

Question

要转义用作shell参数的字符串，我们使用PHP中的函数escapeshellarg()。 Perl是否具有相同的功能？

Answer 1

String::ShellQuote，但大多数时候这是不需要的。您可以通过仔细编程来避免调用shell。例如，system takes a list of arguments而不是字符串。

最佳实践：

use IPC::System::Simple qw(systemx); 
systemx($command, @arguments); 

---

require IPC::System::Simple; 
use autodie qw(:all); 
system([@allowed_exit_values], $command, @arguments); 

Answer 2

Perl可以匹配以下说功能：

增加将字符串和报价单引号/逃脱任何现有的单引号

http://php.net/manual/en/function.escapeshellarg.php#function.escapeshellarg

这样的：

sub php_escapeshellarg { 
    my $str = @_ ? shift : $_; 
    $str =~ s/((?:^|[^\\])(?:\\\\)*)'/$1'\\''/g; 
    return "'$str'"; 
} 

Answer 3

我有@daxim同意。但是在某些情况下，您不能像使用套接字将命令传递给不是perl的程序或没有可用的IPC模块那样使用它。我也看了@axeman给出的正则表达式，这对我来说似乎有点复杂。我可能是错的，但我认为你不需要在单引号字符串中为一个命令避开反斜杠。所以，你可以这样做：

sub escapeshellarg { 
    my $arg = shift; 

    $arg =~ s/'/'\\''/g; 
    return "'" . $arg . "'"; 
} 

如果任何人有任何理由，为什么这可能是不安全的，我想知道。我已经使用任何可以想到使外壳执行任意代码而没有成功的欺骗来测试它，这使我认为这个正则表达式与PHP实现相同。

在PHP实现中，它声明它所做的只是：围绕字符串添加单引号，引号/转义任何现有的单引号。

这是这个正则表达式唯一的东西。 想法？

Answer 4

这一个适用于我在BASH：

sub escape_shell_param($) { 
    my ($par) = @_; 
    $par =~ s/'/'"'"'/g; # "escape" all single quotes 
    return "'$par'";  # single-quote entire string 
} 

它是基于从BASH手册页采取了以下声明：

1. 在单引号围护字符保留的字面意义引号内的每个字符。
2. 单引号之间可能不会出现单引号，即使前面带有反斜杠。
3. 用双引号括起来的字符保留了引号中所有字符的字面值，除了$，`， \，并且当启用历史扩展时！！

From（2。）我们知道反斜杠不能用于转义单个qoutes，但是从（3）中可以看出，双引号保留了（又名转义）单引号的文字值。

还要注意的是报价的唯一目的是改变引用的字符的含义（不创建特殊的字符串对象或类似的东西）和扩张毕竟连续的文字字符连接在一起。然后，'foo''bar'与foobar相同。

上面的函数做了什么是单引号整个字符串，以便没有特殊含义的字符。但是，为了允许存在单引号字符，字符串会在发现此类字符的任何位置被拆分，并执行以下操作：前一个子字符串已完成（'），然后引入一个双引号单引号（"'"）并开始下一个子字符串（'）。这就是为什么'全球取代'"'"'。

例如（伪代码）：

foo'bar => 'foo' + "'" + 'bar'