Как один обеспечить IPC :: Run с аргументом установленного пользовательского ввода, который содержит встроенный пробельные

Question

CentOS-6.8 Perl, v5.10.1 (*), построенный для x86_64-Linux-нить-мульти

Этот вопрос спускается этот Where is the shell command called which invokes OpenSSL commands?. Вкратце, я взламываю очень старый скрипт Perl, используемый для поддержки внутренней частной PKI, так что хэши подписи и размеры ключей по умолчанию соответствуют текущим требованиям браузера.

У меня есть эти фрагменты кода:

. . .  
$args->{keypass} = $self->getPassword("Private key password",1) 
    unless $args->{keypass};  
$self->warn("# Password argument: $args->{keypass}\n") if $ENV{CSPDEBUG}; 
my $cmd = "-out $args->{keyfile} $args->{keysize}"; 
$cmd = "-des3 -passout pass:$args->{keypass} ".$cmd if defined($args->{keypass}); 
$self->{openssl}->cmd('genrsa',$cmd,$args); 
. . . 
$self->{openssl}->cmd('req',"-x509 $common_args -new -out $cacert",$args); 
. . . 
use IPC::Run qw(start pump finish timeout new_appender new_chunker); 
. . . 
sub cmd 
    { 
    my $self = shift; 
    my $cmd = shift; 
    my $cmdline = shift; 
    my $args = shift; 
    my $conf; 
    my $cfgcmd; 
. . . 
    $self->{_handle}->pump while length ${$self->{_in}}; 
. . . 

Если пароль значение аргумента, что пользователь предоставляет не содержит пустого пространства, этот код выполняет по желанию. Если он содержит встроенное свободное пространство, тогда код не работает. Если аргумент, переданный в keypass, объединяется с начальным и конечным одинарным кавычками, тогда код также терпит неудачу. В обоих случаях неудачи сценарий, тем не менее, сообщает об успехе.

Почему?

Какие изменения необходимы, чтобы этот код работал независимо от того, содержит ли пользователь ввод пробелов или нет?

Answer 1

Чтобы ответить на буквальный вопрос, позвольте мне quote the IPC::Run manual:.

"run(), start() и harness() все могут принять спецификации жгута проводов в качестве входных данных Спецификация Жгут либо одна строка для передачи в системах 'shell [& hellip;] или список команд, операций io и/или таймеры/таймауты для выполнения. "

Чтобы предотвратить аргументы команды разбираемый оболочкой (что вызывает вещи ломаются, когда аргументы содержат пробелы), вы не должны передавать их в виде одной строки, но в качестве ссылки на массив, содержащий каждый отдельный аргумент в виде одной строки, что-то вроде этого:

my @cmd = ("-out", $args->{keyfile}, $args->{keysize}); 
unshift @cmd, ("-des3", "-passout", "pass:$args->{keypass}") if defined $args->{keypass}; 
# ... 
my $h = start ["openssl", "genrsa", @cmd], \$in, \$out; # or something equivalent 

(код вы разместили, кажется, использует IPC :: Run через некоторый пользовательский интерфейс слоя, так как вы не показали нам, что именно то, что слой, похоже, я заменил его простым вызовом IPC :: Run :: start.)

---

В любом случае обратите внимание, что прохождение паролей в командной строке обычно считается небезопасным: если ненадежные пользователи могут запускать код на одном и том же сервере (даже в непривилегированной учетной записи), они могут видеть пароль просто, запустив ps ax. openssl manual отмечает это и предупреждает, что pass:password «следует использовать только там, где безопасность не важна».

Более безопасная альтернатива будет send the password over a separate file descriptor. Удобно, IPC :: Run делает это довольно легко:

my @cmd = ("-out", $args->{keyfile}, $args->{keysize}); 
unshift @cmd, ("-des3", "-passout", "fd:3") if defined $args->{keypass}; 
# ... 
my $h = start ["openssl", "genrsa", @cmd], '<', \$in, '>', \$out, '3<', \$args->{keypass}; 

Здесь, пароль передается по файловому дескриптору номера 3; если вам нужно передать несколько паролей, вы можете использовать файловые дескрипторы 4, 5 и т. д. для них. (Дескрипторы 0, 1 и 2 стандартные ввод, стандартный вывод и стандартный поток ошибок.)

^{Отказ от ответственности: Это, очевидно, все непроверенный кода. Я не эксперт в IPC :: Run, поэтому я, возможно, сделал некоторые глупые синтаксические ошибки команды или другие ошибки. Перед использованием тщательно проконсультируйтесь!}