Perl equivalente a escapeshellarg de PHP

Question

Para escapar de la cadena que se utilizará como argumento de shell usamos la función escapeshellarg() en PHP. ¿Tiene Perl una función equivalente?

Answer 1

String::ShellQuote, pero la mayoría de las veces esto no es necesario. Simplemente puede evitar invocar el shell mediante una programación cuidadosa. Por ejemplo, system takes a list of arguments en lugar de una cadena.

La mejor opción:

use IPC::System::Simple qw(systemx); 
systemx($command, @arguments); 

---

require IPC::System::Simple; 
use autodie qw(:all); 
system([@allowed_exit_values], $command, @arguments); 

Answer 2

Perl puede coincidir con el siguiente declarado función:

agrega comillas simples alrededor de una cadena y cotizaciones/escapa ningún comillas simples existentes

http://php.net/manual/en/function.escapeshellarg.php#function.escapeshellarg

así:

sub php_escapeshellarg { 
    my $str = @_ ? shift : $_; 
    $str =~ s/((?:^|[^\\])(?:\\\\)*)'/$1'\\''/g; 
    return "'$str'"; 
} 

Answer 3

Estoy de acuerdo con @daxim. Pero hay algunas circunstancias en las que no puede usar esto como pasar un comando sobre un socket a un programa que no es perl o no tiene el módulo IPC disponible. También miré la expresión regular dada por @axeman y eso me parece un poco complejo. Podría estar equivocado, pero creo que no es necesario escapar de las barras diagonales inversas en cadenas sueltas para un comando. Por lo tanto, sólo podía hacer esto:

sub escapeshellarg { 
    my $arg = shift; 

    $arg =~ s/'/'\\''/g; 
    return "'" . $arg . "'"; 
} 

Si alguien tiene alguna razón, por qué esto puede ser inseguro, me gustaría saber. Lo he probado usando cualquier clase de engaño que se me ocurra para hacer que el shell ejecute código arbitrario, sin éxito, lo que me hace pensar que esta expresión regular es la misma que la implementación de PHP.

En la implementación de PHP, establece que todo lo que hace es: agrega comillas simples alrededor de una cadena y cita/escapa de cualquier comilla simple existente.

Que es lo único que hace esta expresión regular. ¿Pensamientos?

Answer 4

Esta funciona para mí en BASH:

sub escape_shell_param($) { 
    my ($par) = @_; 
    $par =~ s/'/'"'"'/g; # "escape" all single quotes 
    return "'$par'";  # single-quote entire string 
} 

Se basa en las siguientes declaraciones tomadas de la página man bash:

1. personajes que encierran entre comillas simples preserva el valor literal de cada personaje dentro de las comillas.
2. Es posible que una comilla simple no se produzca entre comillas simples, incluso cuando esté precedida por una barra diagonal inversa.
3. La inclusión de caracteres entre comillas dobles conserva el valor literal de todos los caracteres dentro de las comillas, con la excepción de $, `, \ y, cuando se habilita la expansión del historial,!.

De (2.) sabemos que la barra inclinada invertida no se puede usar para escapar de los qoutes individuales, pero a partir de (3.) se da a entender que las comillas dobles conservan el valor literal de las comillas simples (es decir, escape).

También tenga en cuenta que el único propósito de las comillas es cambiar el significado de los caracteres entrecomillados (no se crean objetos de cadenas especiales o cosas similares) y después de la expansión se unen todos los caracteres literales consecutivos. Entonces, 'foo''bar' es lo mismo que foobar.

Lo que hace la función anterior es citar una sola cadena entera para que ningún carácter en ella tenga un significado especial. Sin embargo, para permitir la presencia de caracteres de comillas simples, la cadena se divide dondequiera que se encuentren dichos caracteres, y se realizan las siguientes operaciones: se finaliza la subcadena anterior ('), luego se introduce una comilla simple de comillas dobles ("'") y se inicia la siguiente subcadena ('). Es por eso que ' es reemplazado globalmente por '"'"'.

Por ejemplo (pseudocódigo):

foo'bar => 'foo' + "'" + 'bar'