0

我最近读到在 bash 脚本中使用不带引号的参数很危险。我知道当涉及到 SQL 查询时,转义是至关重要的,但我没有看到以下代码有任何问题(除了明显的目录遍历)

#!/bin/bash

MYDIR="/tmp/$1"

if [ -d $MYDIR ] ; then
    /bin/rmdir $MYDIR
fi

分配行中的引号是否已经足够?

似乎唯一可能的是“如果”行说

# ./mm.sh "arg1 arg2"
./mm.sh: line 5: [: /tmp: binary operator expected

但这对我来说似乎不是很危险。有什么我错过的吗?

编辑:更具体地说。当我使用它运行它时,有什么方法可以提升我的权限sudo mm.sh吗?

问候,

卢卡斯

4

2 回答 2

1

rmdir拒绝删除非空目录,因此您的脚本不太可能产生任何真正的灾难性影响。你仍然可能试图弄清楚当你打电话时会发生什么

./mm.sh ' -o -n /home/lukas/xyz'
于 2013-05-17T16:51:09.477 回答
1

好的,如果你有一个/tmp/foo bar带空格的目录怎么办?

如果您以这种方式传递参数,不带引号:./mm.sh foo bar

您的脚本将检查/tmp/foo,如果您真的有/tmp/foo,它将被删除,这不是您想要的。

危险并不总是意味着某些东西会被意外删除。如果您不引用,您的脚本将错误地解析和使用您的参数。它可能会停止运行,就像您的示例一样,它可能会运行,但不正确。想想你的脚本是否生成了一个重要的报告,但不正确。不是很危险吗?

于 2013-05-17T16:52:23.037 回答