m1rko Jun 3 2018 at 23:37

Как безопасно программировать в bash

11 min

44K

Programming*Shells*

Translation

+72

Comments 39

kvaps Jun 4 2018 at 01:35

Спасибо за перевод,

Придётся закавычивать каждый аргумент и экранировать любые символы, необходимые для выхода из этих кавычек…
Как использовать этот трюк для безопасного выполнения команд по ssh? Это невозможно!

Как вариант можно использовать base64 и передавать уже закодированную строку для выполнения. А на другом конце просто делать:

echo "$CMD" | base64 -d | bash

В случае с bash можно также обойтись простой передачей необходимого через пайп.

Еще хотелось бы добавить про экранирование Here Document, например все знают, что эта команда:

CITY=Moscow
cat <<EOT
I live in $CITY
EOT

вернет:

I live in Moscow

Это может быть удобно для подстановки переменных в Here Document.
При необходимости знак "$" и скобки можно экранировать с помощью "\"

Но мало кто знает, что можно заэкранировать весь Here Document целиком, например:

BBB=asd
cat <<\EOT
I live in $CITY
EOT

не станет расскрывать переменные и вернет:

I live in $CITY

Это может быть полезным для выполнения скриптов на удаленной машине, например.

iig Jun 4 2018 at 14:03

Еще один способ выстрелить в ногу из баша. Весь Here Document экранируется одним слешом — не знал. Глаз может и не заметить.

RumataEstora Jun 4 2018 at 21:28

Тогда уж лучше так (закавыченный маркер):

cat <<'EOT'
$HOSTNAME
EOT

potan Jun 4 2018 at 08:04

`` я чаще всего испольхую вместе с for, а там лишние "" мешают. Безопасного варианта этой конструкции я так и не придумал.

kvaps Jun 4 2018 at 19:52

Перевел Google's Shell Style Guide, там как раз этот вопрос затрагивается.

UFO just landed and posted this here

ganqqwerty Jun 4 2018 at 10:43

Для bash есть какие-нибудь дебаггеры?

teamfighter Jun 4 2018 at 22:13

Угу. strace.

asm0dey Jun 4 2018 at 23:57

bash -x

jazzl0ver Jun 5 2018 at 13:59

bashdb.sourceforge.net

pensnarik Jun 4 2018 at 11:04

Есть приложения, целиком написанные на bash. Например, обёртка на пакетным менеджером Arch Linux yaourt. Читать такой код довольно сложно.

oldbay Jun 4 2018 at 11:14

Был ещё freenx — тоже то ещё поделие на bash, ужасающий и громоздкий код.

oldbay Jun 4 2018 at 11:48

Считаю что bash хорошо подходит именно для сценариев управления *nix сервера. Он напрямую работает с системными утилитами и не перенасыщен синтаксическими конструкциями (сахаром) — потому является отличным связующим субстратом для создания системных скриптов с относительно низким порогом вхождения.
Как язык для написания больших программ и утилит bash просто ужасен:
Неудобное и не очевидное управление переменными и их типами;
Отсутствие понятие зон видимости переменных — в результате в большом скрипте сложно их отслеживать;
Сложно парсить вывод утилит и файлов — приходится применять всякие сторонние awk и sed, с тем ещё синтаксисом;
Отсутствие возможности работы с каким либо сторонним API, bash биндингов ожидаемо не существует;
Ну и банально — катастрофически медленное выполнение циклов и условий — по сравнением с bash даже python кажется спринтером.
п.с:
Потому считаю что bash очень хорош, но в своей нише использования. Остальное от лукавого :)

funca Jun 4 2018 at 14:53

Bash это классный и выразительный язык, если уметь на нем писать. Там есть локальные переменные, функции и много всего остального. В качестве примера рекомендую исходники git или подсистемы конфигурации в openwrt.

-1

UFO just landed and posted this here

iig Jun 4 2018 at 16:06

Все это есть и в других языках. А дебагера вот в баше нет.

UFO just landed and posted this here

oldbay Jun 4 2018 at 18:36

Поверьте — я прекрасно знаю как писать на bash, в том числе большие утилиты: тыц и тыц. И когда это разумно — то использую его по максимуму. Разговор о том что не нужно заниматься «ненормальным программированием тетриса на матлабе» — по назначению нужно вещь использовать.

ValdikSS Jun 4 2018 at 11:55

Или, например, winetricks.
О безопасном программировании на bash есть хорошая страница в wiki mywiki.wooledge.org/BashPitfalls

funca Jun 4 2018 at 14:49

Половина git написана на bash.

miga Jun 4 2018 at 11:44

Очень большая статья, можно сократить:

Как безопасно программировать в bash.

Программируйте в нормальных языках программирования, а шелл оставьте для ad-hoc однострочников

tgz Jun 4 2018 at 12:27

> Как безопасно программировать в bash.

Никак.

UFO just landed and posted this here

tgz Jun 4 2018 at 13:32

От сквозняков и добрых людей, очевидно же :)

UFO just landed and posted this here

teamfighter Jun 4 2018 at 22:14

Тут скорее пытаются рассмотреть инфузорию-туфельку молотком.

begemot_sun Jun 4 2018 at 14:31

Большие баш скрипты, в которых есть ветвления и нелинейная логика более 5 строк я бы жёг напалмом.

funca Jun 4 2018 at 15:10

У bash до смешного низкий порог входа. Но дальше все как у взрослых. В языке есть куча средств для работы со сложностью, но осилить man bash, а главное понять, хватает не всех.

griphit Jun 4 2018 at 16:02

В природе уже есть версия баша, которая скушает следующее?
"$var1"«more string content»"$var2"

И куда катится мир? :)

killik Jun 4 2018 at 16:07

На кой чорт человечество выдумывает такое количество символов кавычек?

saluev Jun 4 2018 at 17:19

Ждём продолжения, отвечающего на вопрос «зачем».

sena Jun 4 2018 at 17:42

но что хорошего в совместимости

Совместимость это очень хорошо, но не всегда это нужно.

Karpion Jun 4 2018 at 18:56

Незакавыченная переменная должна расцениваться как взведённая бомба: она взрывается при контакте с пробелом. Да, «взрывается» в смысле разделения строки на массив.

Видите ли, такое поведение достаточно часто требуется. Например:

arguments="xvzf archive.tgz -C /home/user"
tar $arguments

С кавычками это будет работать неправильно, т.к. команда должна получить командную строку, порезанную на аргументы функции main().

st0ne_c0ld Jun 4 2018 at 19:09

arcfile="archive.tgz"

current_dir="/home/user"

tar xzvf "$arcfile" "$current_dir"

Скажем так, ваш случай выглядит не так чтобы вынужденно-обязательным. При этом, если часто надо такое писать — можно и функции завести с нужным шаблоном аргументов…

Karpion Jun 4 2018 at 20:46

Что-то я слабо представляю, как это сделать в случае, когда количество параметров м.б. произвольным.

Рекомендую глянуть в файл /etc/rc.conf во FreeBSD — там параметры работы системы задаются в виде аргументов командной строки (ну и есть параметры, указывающие, нужно ли вообще запускать эту команду — например, команду запуска демона, аргументы к которой заданы во второй переменной).

mayorovp Jun 4 2018 at 20:45

Вот только если имя пользователя или архива содержит пробел — такой способ уже не сработает.

Вот такой способ выглядит более общим:

arguments=(xvzf "архив с пробелом.tgz" -C /home/user)
tar ${arguments[*]}

griphit Mar 21 2020 at 00:41

for i in ${!arguments[@]};do w=$w\ \"${arguments[${i}]}\";done; tar $w

ЗЫ.
«Товарищи грузины, учитесь военному делу настоящим образом. Приедем — проверим!»

-1

RumataEstora Jun 4 2018 at 19:07

Однажды мне понадобилось выполнить некий набор команд на удаленной машине. Чтобы не мучиться с кавычками сделал так:

some-function() {
    : # do something useful
}

{
    declare -f some-function
    echo "some-function some-parameters"
} | ssh some-host bash

Show the best of all time