295 votes

Barth avatar

Comment exécuter une commande bash stockée comme une chaîne avec des guillemets et un astérisque ?

Demandé el 5 de Janvier, 2010
Quand la question a-t-elle été
29672 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'exécuter la commande suivante :

mysql AMORE -u username -ppassword -h localhost -e "SELECT  host  FROM amoreconfig"

Je le stocke dans une chaîne :

cmd="mysql AMORE -u username -ppassword -h localhost -e\"SELECT  host  FROM amoreconfig\""

Testez-le :

echo $cmd
mysql AMORE -u username -ppassword -h localhost -e"SELECT host FROM amoreconfig"

Essayez d'exécuter en faisant :

$cmd

Et j'obtiens la page d'aide de mysql :

mysql  Ver 14.14 Distrib 5.1.31, for pc-linux-gnu (i686) using readline 5.1
Copyright 2000-2008 MySQL AB, 2008 Sun Microsystems, Inc.
This software comes with ABSOLUTELY NO WARRANTY. This is free software,
and you are welcome to modify and redistribute it under the GPL license
Usage: mysql [OPTIONS] [database]
(...)

Je suppose que je fais quelque chose de mal avec les guillemets mais je n'arrive pas à trouver la cause du problème.

Demandé el 5 de Janvier, 2010 par Barth

11 votes

Avatar de Dennis Williamson

Je vous recommande de lire ceci : mywiki.wooledge.org/BashFAQ/050

Commenté el 5 de Janvier, 2010 par Dennis Williamson

4 votes

Avatar de sdaau

@DennisWilliamson - excellent lien ; j'aime particulièrement ceci : " Si votre tête est tellement enfoncée dans votre cul que vous pensez toujours que vous devez écrire chaque commande que vous êtes sur le point d'exécuter avant de l'exécuter "Je me demande comment l'auteur de ce texte résoudrait un script où vous construisez une commande dynamiquement, et où vous voulez explicitement la répercuter - afin de demander à l'utilisateur "Voulez-vous exécuter cette commande ?" avant qu'elle ne soit exécutée ?

Commenté el 30 de Mai, 2013 par sdaau

0 votes

Avatar de Charles Duffy

@sdaau, cela dépend de l'approche utilisée parmi celles données dans la FAQ. Pour une fonction, on peut imprimer son texte avec declare -f ; pour un tableau (l'approche typique "construite dynamiquement") : printf '%q ' "${array[@]}"; echo .

Commenté el 28 de Août, 2015 par Charles Duffy
Afficher 3 autres commentaires

Réponses

Trop de publicités?

438voto

slebetman avatar
slebetman Points 28276

Avez-vous essayé :

eval $cmd

Pour la question suivante, comment s'échapper * car il a une signification particulière lorsqu'il est nu ou dans des chaînes de caractères entre guillemets doubles : utilisez des guillemets simples.

MYSQL='mysql AMORE -u username -ppassword -h localhost -e'
QUERY="SELECT "'*'" FROM amoreconfig" ;# <-- "double"'single'"double"
eval $MYSQL "'$QUERY'"

Bonus : il lit également bien : eval mysql query ;-)

Répondu el 5 de Janvier, 2010 par slebetman (28276 Points )

0 votes

Avatar de Barth

Merci, ça marche. Comment puis-je sélectionner toutes les colonnes ? Comment puis-je échapper à '*' ?

Commenté el 5 de Janvier, 2010 par Barth

0 votes

Avatar de filiprem

Il n'est pas nécessaire d'échapper à l'astérisque (*) dans ce cas.

Commenté el 5 de Janvier, 2010 par filiprem

0 votes

Avatar de Barth

La première tentative avec les deux a échoué. J'ai dû utiliser eval $MYSQL \"$QUERY\" Mais la première renvoie +---+ | * | +---+ | * | (...) Et la seconde avec l'échappement échoue avec : ERROR at line 1 : Commande inconnue '*'. Merci quand même pour votre aide :)

Commenté el 5 de Janvier, 2010 par Barth
Afficher 10 autres commentaires

67voto

Charles Duffy avatar
Charles Duffy Points 34134

Utilisez un tableau, et non une chaîne de caractères, comme indiqué à titre indicatif dans le document BashFAQ #50 .

L'utilisation d'une chaîne de caractères est une pratique de sécurité extrêmement mauvaise : Considérons le cas où password (ou une clause where dans la requête, ou tout autre composant) est fourni par l'utilisateur ; vous ne voulez pas eval un mot de passe contenant $(rm -rf .) !

Exécution d'une commande locale

cmd=( mysql AMORE -u username -ppassword -h localhost -e "SELECT  host  FROM amoreconfig" )
"${cmd[@]}"

Imprimer votre commande sans ambiguïté

cmd=( mysql AMORE -u username -ppassword -h localhost -e "SELECT  host  FROM amoreconfig" )
printf 'Proposing to run: '
printf '%q ' "${cmd[@]}"
printf '\n'

Exécution de votre commande via SSH (Méthode 1 : utilisation de Stdin)

cmd=( mysql AMORE -u username -ppassword -h localhost -e "SELECT  host  FROM amoreconfig" )
printf -v cmd_str '%q ' "${cmd[@]}"
ssh other_host 'bash -s' <<<"$cmd_str"

Exécution de votre commande via SSH (Méthode 2 : ligne de commande)

cmd=( mysql AMORE -u username -ppassword -h localhost -e "SELECT  host  FROM amoreconfig" )
printf -v cmd_str '%q ' "${cmd[@]}"
ssh other_host "bash -c $cmd_str"
Répondu el 28 de Août, 2015 par Charles Duffy (34134 Points )

3 votes

Avatar de David

Considérez le cas où aucun mot de passe ne figure dans la requête. Pensez à l'utilité d'un tel système.

Commenté el 30 de Août, 2015 par David

8 votes

Avatar de Charles Duffy

@DavidBeckwith, pourquoi l'approche avec failles de sécurité est-elle plus utile que celle sans failles ? Quel avantage ajoute-t-elle ? Vous pouvez toujours construire dynamiquement vos tableaux ; vous avez simplement l'avantage de ne pas risquer que leur contenu soit analysé d'une manière différente de celle prévue.

Commenté el 30 de Août, 2015 par Charles Duffy

4 votes

Avatar de Charles Duffy

...c'est-à-dire : On peut courir cmd+=( -e "$query" ) pour ajouter ces arguments au tableau existant, et être assuré que query sera ajouté comme un seul argument à -e qui est transmis à mysql Il n'est pas nécessaire d'examiner son contenu pour savoir s'il génère un sous-shell ou s'il échappe aux guillemets et lance un rootkit ou autre.

Commenté el 30 de Août, 2015 par Charles Duffy
Afficher 14 autres commentaires

26voto

ghostdog74 avatar
ghostdog74 Points 86060

Essayez ceci

$ cmd='mysql AMORE -u root --password="password" -h localhost -e "select host from amoreconfig"'
$ eval $cmd
Répondu el 5 de Janvier, 2010 par ghostdog74 (86060 Points )

1 votes

Avatar de Barth

Merci, ça marche. J'ai marqué l'autre réponse comme étant la réponse acceptée parce qu'elle était antérieure.

Commenté el 5 de Janvier, 2010 par Barth

4 votes

Avatar de Charles Duffy

Dans la mesure où cela fonctionne, cela fonctionne mal . Doit être eval "$cmd" pas eval $cmd pour gérer les cas où n'importe quel composant de découpage de mots pourrait être étendu de manière globale à un fichier dans le répertoire courant -- ou les cas où les caractères dans IFS ne peuvent pas être substitués à d'autres de manière inoffensive.

Commenté el 3 de Février, 2016 par Charles Duffy

4 votes

Avatar de jsears

Cette solution présente une vulnérabilité de sécurité par injection de commande si l'une des entrées de la chaîne évaluée est fournie par l'utilisateur. La solution proposée par @CharlesDuffy est bien meilleure.

Commenté el 25 de Février, 2016 par jsears

6voto

David avatar
David Points 61

Vous n'avez même pas besoin du "eval". Mettez juste un signe de dollar devant la chaîne :

cmd="ls"
$cmd
Répondu el 28 de Août, 2015 par David (61 Points )

11 votes

Avatar de Charles Duffy

Ne fonctionne que pour des commandes extrêmement simples ; ne fonctionne pas pour celle que le PO a donnée dans son exemple.

Commenté el 28 de Août, 2015 par Charles Duffy

2 votes

Avatar de Charles Duffy

Lire mywiki.wooledge.org/BashFAQ/050 pour comprendre pourquoi.

Commenté el 28 de Août, 2015 par Charles Duffy

0 votes

Avatar de Paulo Oliveira

Cela a fonctionné pour moi pour un outil nodejs au lieu de `$cmd`

Commenté el 31 de Mars, 2017 par Paulo Oliveira
Afficher 2 autres commentaires

-3voto

Paul Havens avatar
Paul Havens Points 13

Pour éliminer le besoin de la variable cmd, vous pouvez faire ceci :

eval 'mysql AMORE -u root --password="password" -h localhost -e "select host from amoreconfig"'
Répondu el 27 de Janvier, 2015 par Paul Havens (13 Points )

4 votes

Avatar de Charles Duffy

Si vous vous contentez d'avoir un littéral codé en dur, pourquoi utiliser eval du tout, par opposition à l'exécution mysql [...] ?

Commenté el 28 de Août, 2015 par Charles Duffy

1 votes

Avatar de Sedat Kilinc

Eval avec une constante littérale n'a aucun sens !

Commenté el 1 de Janvier, 2017 par Sedat Kilinc

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X