有没有一种简单的方法来清理进入 bash 脚本的用户数据？

Question

我有一个简单的脚本，它从 STDIN（管道电子邮件）获取主题行和返回路径，并使用主题运行自定义 curl 查询：

#!/usr/bin/env bash

# Check for the sender email address and subject.
# Assign them to variables for use later.
while read -r key value; do
    case $key in
        Subject:) subject=$value;;
        Return-Path:) return_path=$value;;
    esac
done

# Run a curl query utilizing a modified version of the subject (replacing spaces with plus symbols)

curl "https://foo.com/&q="${subject// /+}"" >> foo.txt

但我担心的是，这会为恶意（或意外）使用有问题的主题标头留下一个漏洞，例如：主题：测试 123； rm -fr /;

有没有一种简单的方法可以防止这种情况发生？

如果这是一个模糊的问题，我深表歉意。我对脚本非常陌生，所以我对脚本强化/清理的了解非常少。如果有初学者对此的参考，请告诉我。

---

更新。这是修改后的脚本：

#!/usr/bin/env bash

# Check for the sender email address and subject.
# Assign them to variables for use later.
while read -r key value; do
    case $key in
        Subject:) subject="$value";;
        Return-Path:) return_path="$value";;
    esac
done

# Run a curl query utilizing a modified version of the subject (replacing spaces with plus symbols)

curl "https://foo.com/&q=\"${subject// /+}\"" >> foo.txt

Answer 1

是的。始终使用引号。 总是。

foo="$bar"

Answer 2

curl 可以为您进行 urlencode。

while read -r key value; do
    case $key in
        Subject:) subject=$value;;
        Return-Path:) return_path=$value;;
    esac
done

curl --get --data-urlencode "q=$subject" "https://foo.com/" >> foo.txt

无论主题包含什么，它都不会被视为代码。

Answer 3

很抱歉，当前接受的答案是错误的。正如 geirha 指出的那样，不需要在作业周围加上引号。

但是改变

curl "https://foo.com/&q=\"${subject// /+}\"" >> foo.txt

到

curl "https://foo.com/&q=${subject// /+}" >> foo.txt

除非您通过两个 shell 运行数据，否则不存在“应用两级引用”这样的东西。

阅读sh spec 的第 2.2.1 至 2.2.3 部分，以了解引用的工作原理。另请阅读 2.6.5 “字段拆分”以了解如何拆分不在双引号中的变量。

在任何情况下，是否将外部输入视为命令可以输入“注入”命令，除非您当然信任它并通过另一个 shell 运行它。