os.system（）呼び出しをエスケープする方法は？

os.system（）を使用する場合、コマンドにパラメーターとして渡されるファイル名やその他の引数をエスケープする必要があることがよくあります。これどうやってするの？できれば、複数のオペレーティングシステム/シェルで機能するものですが、特にbashの場合に適しています。

私は現在次のことをしていますが、これにはライブラリ関数、または少なくともよりエレガントで堅牢で効率的なオプションが必要です。

def sh_escape(s):
   return s.replace("(","\\(").replace(")","\\)").replace(" ","\\ ")

os.system("cat %s | grep something | sort > %s" 
          % (sh_escape(in_filename), 
             sh_escape(out_filename)))

編集：私は引用符を使用するという単純な答えを受け入れましたが、なぜそれを考えなかったのかわかりません。'と "の動作が少し異なるWindowsから来たのだと思います。

セキュリティに関しては、私は懸念を理解していますが、この場合、os.system（）が提供する迅速で簡単な解決策に興味があり、文字列のソースはユーザーが生成したものではないか、少なくとも信頼できるユーザー（私）。

これは私が使用するものです：

def shellquote(s):
    return "'" + s.replace("'", "'\\''") + "'"

シェルは常に引用符で囲まれたファイル名を受け入れ、問題のプログラムに渡す前に周囲の引用符を削除します。特に、これにより、スペースやその他の厄介なシェルメタキャラクターを含むファイル名の問題が回避されます。

更新：Python 3.3以降を使用している場合は、独自にロールするのではなく、shlex.quoteを使用します。

shlex.quote() Python 3以降で必要なことを行います。

（pipes.quotepython 2とpython 3の両方をサポートするために使用）

おそらく、を使用する特定の理由があるかもしれませんos.system()。しかし、そうでない場合は、おそらくsubprocessモジュールを使用する必要があります。パイプを直接指定して、シェルの使用を回避できます。

以下はPEP324からのものです：

Replacing shell pipe line
-------------------------

output=`dmesg | grep hda`
==>
p1 = Popen(["dmesg"], stdout=PIPE)
p2 = Popen(["grep", "hda"], stdin=p1.stdout, stdout=PIPE)
output = p2.communicate()[0]

多分subprocess.list2cmdline良いショットですか？

pipes.quoteは実際にはPython 2.5およびPython 3.1で壊れており、安全に使用できないことに注意してください-長さ0の引数は処理しません。

>>> from pipes import quote
>>> args = ['arg1', '', 'arg3']
>>> print 'mycommand %s' % (' '.join(quote(arg) for arg in args))
mycommand arg1  arg3

Python issue 7476を参照してください。Python 2.6および3.2以降では修正されています。

注意：これはPython 2.7.xの回答です。

ソースによると、pipes.quote()「/ bin / shの単一の引数として文字列を確実に引用する」方法です。（バージョン2.7以降は非推奨であり、最終的にはPython 3.3でshlex.quote()関数として公開されています。）

上の一方、subprocess.list2cmdline()「する方法であるのと同じ規則を使用して、コマンドライン文字列に引数の順序を翻訳MS Cランタイム」。

ここでは、コマンドラインの文字列を引用するプラットフォームに依存しない方法です。

import sys
mswindows = (sys.platform == "win32")

if mswindows:
    from subprocess import list2cmdline
    quote_args = list2cmdline
else:
    # POSIX
    from pipes import quote

    def quote_args(seq):
        return ' '.join(quote(arg) for arg in seq)

使用法：

# Quote a single argument
print quote_args(['my argument'])

# Quote multiple arguments
my_args = ['This', 'is', 'my arguments']
print quote_args(my_args)

os.systemは、ユーザー用に構成されたコマンドシェルを呼び出すだけなので、プラットフォームに依存しない方法では実行できないと思います。私のコマンドシェルは、bash、emacs、ruby、quake3のいずれでもかまいません。これらのプログラムの中には、渡される引数の種類を期待していないものもあり、そうした場合でも、同じ方法でエスケープを行う保証はありません。

私が使用する関数は次のとおりです。

def quote_argument(argument):
    return '"%s"' % (
        argument
        .replace('\\', '\\\\')
        .replace('"', '\\"')
        .replace('$', '\\$')
        .replace('`', '\\`')
    )

つまり、私は常に引数を二重引用符で囲み、次に、二重引用符内の特殊文字だけをバックスラッシュで引用符で囲みます。

systemコマンドを使用する場合は、os.system（）呼び出しに含まれるものをホワイトリストに登録してみます。たとえば、

clean_user_input re.sub("[^a-zA-Z]", "", user_input)
os.system("ls %s" % (clean_user_input))

subprocessモジュールの方が優れたオプションです。os.system/ subprocessのようなものはできるだけ使用しないようにすることをお勧めします。

本当の答えは次のとおりos.system()です。そもそも使用しないでください。subprocess.call代わりに使用して、エスケープされていない引数を指定してください。