php - 在 PHP 中转义 Python 字符串的最佳方法是什么？

Question

我有一个 PHP 应用程序需要输出一个 python 脚本，更具体地说是一堆变量赋值语句，例如。

subject_prefix = 'This String From User Input'
msg_footer = """This one too."""

需要写入subject_prefix等内容来接受用户输入；因此，我需要转义字符串的内容。像下面这样写是不会成功的；一旦有人使用引号或换行符或任何其他我不知道可能有危险的东西，我们就会被塞满:

echo "subject_prefix = '".$subject_prefix."'\n";

所以。有什么想法吗？

(由于时间限制，无法用 Python 重写应用程序。:P)

多年后编辑:

这是为了集成网络应用程序(用 PHP 编写)和 Mailman(用 Python 编写)。我无法修改后者的安装，所以我需要想出一种用它的语言交谈的方法来管理它的配置。

这也是一个非常的坏主意。

Answer 1

不要尝试用 PHP 编写此函数。您不可避免地会出错，并且您的应用程序将不可避免地具有任意远程执行漏洞。

首先，考虑您实际要解决的问题是什么。我假设您只是想从 PHP 获取数据到 Python。您可能会尝试编写 .ini 文件而不是 .py 文件。 Python 有一个优秀的 ini 语法分析器，ConfigParser .您可以在 PHP 中编写明显且可能不正确的引用函数，如果(读作:何时)您弄错了，则不会发生任何严重的事情。

您还可以编写一个 XML 文件。 PHP 和 Python 的 XML 解析器和发射器太多，我什至无法在此处列出。

如果我真的不能让你相信这是一个非常糟糕的想法，那么你至少可以使用 Python 已经存在的函数来做这样的事情:repr()。

这是一个方便的 PHP 函数，它将运行一个 Python 脚本来为您执行此操作:

<?php

function py_escape($input) {
    $descriptorspec = array(
        0 => array("pipe", "r"),
        1 => array("pipe", "w")
        );
    $process = proc_open(
        "python -c 'import sys; sys.stdout.write(repr(sys.stdin.read()))'",
        $descriptorspec, $pipes);
    fwrite($pipes[0], $input);
    fclose($pipes[0]);
    $chunk_size = 8192;
    $escaped = fread($pipes[1], $chunk_size);
    if (strlen($escaped) == $chunk_size) {
        // This is important for security.
        die("That string's too big.\n");
    }
    proc_close($process);
    return $escaped;
}

// Example usage:
$x = "string \rfull \nof\t crappy stuff";
print py_escape($x);

chunk_size 检查旨在防止您的输入最终变成两个非常长的字符串的攻击，看起来像 ("hello "+ ("."* chunk_size)) 和 '; os.system("do bad stuff") 分别。现在，这种天真的攻击将无法正常工作，因为 Python 不会让单引号字符串在一行的中间结束，并且 system() 调用中的那些引号本身将被引用，但是如果攻击者设法将续行符 ("\") 放到正确的位置并使用类似 os.system(map(chr, ...)) 的东西，那么他们就可以注入(inject)一些代码它将运行。

我选择只读取一个 block ，如果有更多输出就放弃，而不是继续读取和积累，因为Python源文件行长度也有限制；据我所知，这可能是另一种攻击媒介。 Python 并非旨在防止任意人员在您的系统上编写任意源代码，因此该区域不太可能被审计。

我不得不为这个微不足道的例子考虑所有这一切，这只是为什么你不应该使用 python 源代码作为数据交换格式的另一个例子。