进入SSH命令的Sanitize/escape参数

Question

我需要做些什么才能正确清理/转义正在输入到编程SSH命令中的参数？

例如，路径参数 -

public boolean exists(String path) { 

    try { 
     ChannelExec c = (ChannelExec) session.openChannel("exec"); 

     //Here *** would like to be sure that the path is completely valid 
     c.setCommand("[ -f " + path + " ] && echo \"File exists\" || echo \"File does not exists\""); 

     InputStream in = c.getInputStream(); 

     c.connect(); 

     ByteArrayOutputStream out = new ByteArrayOutputStream(); 

     IOUtils.copy(in, out); 

     in.close(); 
     out.close(); 

     System.out.println(out.toString("UTF-8")); 
     c.disconnect(); 

    } catch (JSchException e) { 
     e.printStackTrace(); 
    } catch (IOException e) { 
     e.printStackTrace(); 
    } 

    // TODO Auto-generated method stub 
    return false; 
} 

其原因是不安全是该路径参数可以来自用户的上传。恶意用户可能会在技术上上载带有无效文件名的文件。虽然我可以事先检查（我正在做这个），但我也想在这里检查一下。

Answer 1

我认为这里的一个好主意是确保它作为单个参数传递给[，而不是多个（甚至多个命令）。因此，简单地将它包装在'中，并用'\''代替字符串内的任何'。

private String escape(String s) { 
    return "'" + s.replace("'", "'\\''") + "'"; 
} 

您还可以使用'代替\"该命令的echo一部分，只要你不需要在服务器端变量扩展（也有在这些字符串没有变量）：

c.setCommand("[ -f " + escape(path) + " ] && " + 
       "echo 'File exists' || echo 'File does not exist'"); 

（请注意，我还做了一个小小的语法修正。）