Python防止命令注入：subprocess安全使用指南

本文深入解析了Python中防范命令注入攻击的核心策略，强调必须杜绝将用户输入直接拼接进shell命令字符串这一高危行为；推荐始终采用subprocess的列表形式调用（如`subprocess.run(["cmd", arg1, arg2])`）并保持`shell=False`默认设置，从根本上绕过shell解析；若极少数场景必须启用`shell=True`，则务必通过`shlex.quote()`严格转义或更可靠的白名单校验来约束输入，坚决避免脆弱的黑名单过滤；同时应全面弃用`os.system()`等隐式调用shell的危险函数，优先使用安全、现代的`subprocess.run()`，并辅以最小权限运行、环境变量隔离和敏感工具参数审计等纵深防御措施——掌握这些实践，就能在真实项目中筑牢命令执行的安全防线。

防止命令注入的关键是避免将用户输入直接拼接到 shell 命令字符串中。使用 subprocess 时，应优先采用列表形式调用、禁用 shell=True，并严格校验/过滤输入。

用列表传参，禁用 shell=True

这是最核心的安全实践。当以列表形式调用（如 subprocess.run(["ls", "-l", path])），Python 会绕过系统 shell，参数被原样传递给目标程序，不会触发 shell 解析，从而杜绝注入。

• ✅ 正确：传入参数列表，shell=False（默认值）
• ❌ 危险：拼接字符串 + shell=True，例如 subprocess.run(f"ls -l {user_input}", shell=True) —— 用户输入 "; rm -rf / 就可能执行任意命令

必须用 shell 时，严格转义或白名单校验

极少数场景需 shell 功能（如管道、通配符、重定向），此时若无法避免 shell=True，必须对用户输入做处理：

• 对不可信输入使用 shlex.quote()（仅适用于 POSIX shell）——它把字符串转为 shell 安全的单引号包裹形式，如 shlex.quote("a b; c") → 'a b; c'
• 更推荐方式：不依赖转义，而是用白名单限制输入范围（如只允许字母、数字、下划线、指定后缀），或映射到预定义命令选项
• 避免对输入做“黑名单过滤”（如删掉 ;、&），容易绕过

避免使用已弃用或高危函数

某些旧接口天然不安全，应主动规避：

• 不用 os.system()、os.popen()、commands.getoutput()（Python 2）——它们都隐式调用 shell
• 慎用 subprocess.Popen(..., shell=True)，除非你明确知道为何需要且已做好防护
• 优先使用 subprocess.run()（Python 3.5+），它接口清晰、默认安全、错误处理友好

补充：环境与权限控制

即使代码层防护到位，运行时环境也影响最终安全性：

• 以最小权限运行进程（如不以 root 启动 Web 服务）
• 必要时通过 env=... 参数显式控制子进程环境变量，避免继承危险配置
• 对敏感操作（如调用 git、convert、ffmpeg）额外审计其参数接受逻辑，防止工具自身解析漏洞被利用

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。