bash 可以将带引号和/或转义的字符串变量扩展为单词吗？

Question 1

使用read：

read -a ssh_args <<< "${SSH_ORIGINAL_COMMAND}"
set -- "${ssh_args[@]}"

这会将单词解析到SSH_ORIGINAL_COMMAND数组中ssh_args，并将反斜杠 ( \) 视为转义字符。然后将数组元素作为参数给出set。它适用于ssh像这样传递的参数列表：

$ ssh some_server foo 'bar\ car' baz
$ ssh some_server foo bar\\ car baz

Aprintf "%q" 引用 ssh 包装器允许这些：

$ sshwrap some_server foo bar\ car baz
$ sshwrap some_server foo 'bar car' baz

这是一个这样的包装示例：

#!/bin/bash
h=$1; shift
QUOTE_ARGS=''
for ARG in "$@"
do
  ARG=$(printf "%q" "$ARG")
  QUOTE_ARGS="${QUOTE_ARGS} $ARG"
done
ssh "$h" "${QUOTE_ARGS}"

Answer

使用read：

read -a ssh_args <<< "${SSH_ORIGINAL_COMMAND}"
set -- "${ssh_args[@]}"

这会将单词解析到SSH_ORIGINAL_COMMAND数组中ssh_args，并将反斜杠 ( \) 视为转义字符。然后将数组元素作为参数给出set。它适用于ssh像这样传递的参数列表：

$ ssh some_server foo 'bar\ car' baz
$ ssh some_server foo bar\\ car baz

Aprintf "%q" 引用 ssh 包装器允许这些：

$ sshwrap some_server foo bar\ car baz
$ sshwrap some_server foo 'bar car' baz

这是一个这样的包装示例：

#!/bin/bash
h=$1; shift
QUOTE_ARGS=''
for ARG in "$@"
do
  ARG=$(printf "%q" "$ARG")
  QUOTE_ARGS="${QUOTE_ARGS} $ARG"
done
ssh "$h" "${QUOTE_ARGS}"

Question 2

如何引用字符串：

请参阅${parameter@operator}中的部分https://www.gnu.org/software/bash/manual/html_node/Shell-Parameter-Expansion.html

对于单个变量：

"${var@Q}"

a-> 'a', a'b-> 'a'\''b'。

对于数组，

"@{array[@]@Q}"

将引用数组中的每个元素，然后用空格连接成一个大字符串。

对于程序参数$@

"${@@Q}"

（可能需要 Bash 4.4+，如果不可用，您可以使用 printf "%q" ...但您失去了引用数组中每个元素的能力）

如何将带引号的字符串取消引用回数组

我只发现 1 个安全的方法是 @eel ghEEz 指出的：

declare -a array="($QUOTED_ARGS)"

编辑 2022/08/31：传递带引号的参数以避免命令注入很重要。

更准确地说，应该是

JOINED_ARGMENTS_STRING="......"
declare -a array="(${JOINED_ARGMENTS_STRING@Q})"

样本：

cat <<'EOF' > show_args
#!/bin/bash
for arg in "$@"; do
  echo "ARG_$((++i))=$arg"
done
EOF
chmod +x show_args

cat <<'EOF' > test.sh
#!/bin/bash
QUOTED_ARGS=${@@Q}    # this is important!!!!!!
echo QUOTED_ARGS is "$QUOTED_ARGS"

echo de-quote QUOTED_ARGS
declare -a args="($QUOTED_ARGS)"
./show_args "${args[@]}"
EOF
chmod +x test.sh

测试：

ARGS=("a a a" "b'b'b" 'c"c"c')
./show_args "${ARGS[@]}"

你可以证明它是一个包含 3 个元素的数组

ARG_1=a a a
ARG_2=b'b'b
ARG_3=c"c"c

让我们看看引号和反引号是如何工作的

./test.sh "${ARGS[@]}"

或者

./test.sh "a a a" "b'b'b" 'c"c"c'

结果是

QUOTED_ARGS is 'a a a' 'b'\''b'\''b' 'c"c"c'
de-quote QUOTED_ARGS
ARG_1=a a a
ARG_2=b'b'b
ARG_3=c"c"c

编辑 2022/08/31：添加了注入尝试测试：

./test.sh "\$(echo test >&2)"

结果：

QUOTED_ARGS is '$(echo test >&2)'
de-quote QUOTED_ARGS
ARG_1=$(echo test >&2)

“echo test”命令没有被调用，这很好。

成功恢复。

Answer

如何引用字符串：

请参阅${parameter@operator}中的部分https://www.gnu.org/software/bash/manual/html_node/Shell-Parameter-Expansion.html

对于单个变量：

"${var@Q}"

a-> 'a', a'b-> 'a'\''b'。

对于数组，

"@{array[@]@Q}"

将引用数组中的每个元素，然后用空格连接成一个大字符串。

对于程序参数$@

"${@@Q}"

（可能需要 Bash 4.4+，如果不可用，您可以使用 printf "%q" ...但您失去了引用数组中每个元素的能力）

如何将带引号的字符串取消引用回数组

我只发现 1 个安全的方法是 @eel ghEEz 指出的：

declare -a array="($QUOTED_ARGS)"

编辑 2022/08/31：传递带引号的参数以避免命令注入很重要。

更准确地说，应该是

JOINED_ARGMENTS_STRING="......"
declare -a array="(${JOINED_ARGMENTS_STRING@Q})"

样本：

cat <<'EOF' > show_args
#!/bin/bash
for arg in "$@"; do
  echo "ARG_$((++i))=$arg"
done
EOF
chmod +x show_args

cat <<'EOF' > test.sh
#!/bin/bash
QUOTED_ARGS=${@@Q}    # this is important!!!!!!
echo QUOTED_ARGS is "$QUOTED_ARGS"

echo de-quote QUOTED_ARGS
declare -a args="($QUOTED_ARGS)"
./show_args "${args[@]}"
EOF
chmod +x test.sh

测试：

ARGS=("a a a" "b'b'b" 'c"c"c')
./show_args "${ARGS[@]}"

你可以证明它是一个包含 3 个元素的数组

ARG_1=a a a
ARG_2=b'b'b
ARG_3=c"c"c

让我们看看引号和反引号是如何工作的

./test.sh "${ARGS[@]}"

或者

./test.sh "a a a" "b'b'b" 'c"c"c'

结果是

QUOTED_ARGS is 'a a a' 'b'\''b'\''b' 'c"c"c'
de-quote QUOTED_ARGS
ARG_1=a a a
ARG_2=b'b'b
ARG_3=c"c"c

编辑 2022/08/31：添加了注入尝试测试：

./test.sh "\$(echo test >&2)"

结果：

QUOTED_ARGS is '$(echo test >&2)'
de-quote QUOTED_ARGS
ARG_1=$(echo test >&2)

“echo test”命令没有被调用，这很好。

成功恢复。

bash 可以将带引号和/或转义的字符串变量扩展为单词吗？

背景

答案1

答案2

如何引用字符串：

如何将带引号的字符串取消引用回数组

测试：

相关内容