Comandi di shell di escape In java?

Question

Ho un servizio web che richiederà alcuni input dalle macchine autenticate come XML (questo è per un sistema di gestione di rete che sto integrando con altri software) ed eseguo uno script di shell con alcuni dati XML come argomenti.

In Java (/ Linux), qual è il modo migliore per sfuggire ai comandi della shell per garantire che qualcuno non possa passare argomenti dannosi al mio servizio web?

sostanza in un esempio estremamente semplificato, Im un input in via WS

<foo> 
<bar>ABCDEF</bar> 
</foo> 

then running somescript.pl <<data in <bar> field>> here 

Devo garantire che questo non può essere utilizzato per eseguire comandi di shell arbitrari, ecc.

Grazie!

Answer 1

suggerirei utilizzando ProcessBuilder o uno dei metodi Runtime.exec che non corsa attraverso il guscio e quindi non richiede shell fuga per evitare attacchi di iniezione (qui).

• ProcessBuilder - più flessibile di Runtime.exec.

• Runtime.exec(String[]) - differisce dalla forma che richiede solo un String

Può utile considerare utilizzando tubo STDIN del processo per trasferire i dati XML anche - Perl può banalmente gestire la lettura da STDIN. Ci sono generalmente dei limiti con gli argomenti della riga di comando.

Felice codifica.

Answer 2

Patch in dotazione: https://issues.apache.org/jira/browse/LANG-1066

Questo è davvero un problema di lunga data.

Answer 3

Se non è possibile utilizzare un ProcessBuilder, è possibile considerare Apache commons-text escapeXSI.

(non importa il nome: XSI è l'estensione X/Open System Interfaces, una specifica aggiuntiva allo Single UNIX Specification, quindi tutto ciò che cerca di essere simile a UNIX più o meno conforme a questo).