如何转义任意字符串以用作 Bash 中的命令行参数？

Posted 2023-03-15

【中文标题】如何转义任意字符串以用作 Bash 中的命令行参数？

【英文标题】：How can I escape an arbitrary string for use as a command line argument in Bash?

【发布时间】：2011-09-12 11:29:36

【问题描述】：

我有一个字符串列表，我想在单个 Bash 命令行调用中将这些字符串作为参数传递。对于简单的字母数字字符串，只需逐字传递它们就足够了：

> script.pl foo bar baz yes no
foo
bar
baz
yes
no

我了解，如果参数包含空格、反斜杠或双引号，我需要对双引号和反斜杠进行反斜杠转义，然后对参数进行双引号。

> script.pl foo bar baz "\"yes\"\\\"no\""
foo
bar
baz
"yes"\"no"

但是当参数包含感叹号时，就会发生这种情况：

> script.pl !foo
-bash: !foo: event not found

双引号不起作用：

> script.pl "!foo"
-bash: !foo: event not found

也没有反斜杠转义（注意文字反斜杠是如何出现在输出中的）：

> script.pl "\!foo"
\!foo

我还不太了解 Bash，但我知道还有其他特殊字符可以做类似的事情。 安全转义任意字符串以用作 Bash 中的命令行参数的一般过程是什么？ 假设字符串可以是任意长度并包含特殊字符的任意组合。我想要一个escape() 子程序，我可以使用如下（Perl 示例）：

$cmd = join " ", map  escape($_);  @args;

这里有一些示例字符串应该被这个函数安全地转义（我知道其中一些看起来像 Windows，这是故意的）：

yes
no
Hello, world      [string with a comma and space in it]
C:\Program Files\ [path with backslashes and a space in it]
"                 [i.e. a double-quote]
\                 [backslash]
\\                [two backslashes]
\\\               [three backslashes]
\\\\              [four backslashes]
\\\\\             [five backslashes]
"\                [double-quote, backslash]
"\T               [double-quote, backslash, T]
"\\T              [double-quote, backslash, backslash, T]
!1                
!A                
"!\/'"            [double-quote, exclamation, backslash, forward slash, apostrophe, double quote]
"Jeff's!"         [double-quote, J, e, f, f, apostrophe, s, exclamation, double quote]
$PATH             
%PATH%            
&                 
<>|&^             
*@$$A$@#?-_       

编辑：

这能解决问题吗？用反斜杠转义每个不寻常的字符，并省略单引号或双引号。 （示例是 Perl，但任何语言都可以这样做）

sub escape 
    $_[0] =~ s/([^a-zA-Z0-9_])/\\$1/g;
    return $_[0];

【问题讨论】：

一个很好的答案在这里：unix.stackexchange.com/q/4770/5779

提供的 perl 脚本（在编辑中）不正确。换行失败，用反斜杠转义时会被忽略。

【参考方案1】：

如果您想为 Bash 安全引用 任何内容，您可以使用其内置的 printf %q 格式：

cat strings.txt:

yes
no
Hello, world
C:\Program Files\
"
\
\\
\\\
\\\\
\\\\\
"\
"\T
"\\T
!1
!A
"!\/'"
"Jeff's!"
$PATH
%PATH%
&
<>|&^
*@$$A$@#?-_

cat quote.sh:

#!/bin/bash
while IFS= read -r string
do
    printf '%q\n' "$string"
done < strings.txt

./quote.sh:

yes
no
Hello\,\ world
C:\\Program\ Files\\
\"
\\
\\\\
\\\\\\
\\\\\\\\
\\\\\\\\\\
\"\\
\"\\T
\"\\\\T
\!1
\!A
\"\!\\/\'\"
\"Jeff\'s\!\"
\$PATH
%PATH%
\&
\<\>\|\&\^
\*@\$\$A\$@#\?-_

可以将这些字符串逐字复制到例如echo 以输出strings.txt 中的原始字符串。

【讨论】：

我希望每个 \"!'$<>|&^ 都需要转义，但我注意到 printf 也已经转义了最终字符串中的 * 和 ?。我错过了吗？是否有必须用反斜杠转义的完整字符列表？

好吧，看起来任何字符都可以被反斜杠转义而不会受到惩罚，所以最安全的做法是转义除字母、数字和下划线之外的所有内容。在 Perl 中，我描述的函数是：sub escape $_[0] =~ s/([^a-zA-Z0-9_])/\\$1/g; return $_[0];

@qntm：但是如果字符串（或其中的一部分）已经被转义了怎么办？你会得到双重逃脱，密码世界的五骑士之一。

如果字符串已经是单转义的，那么它将在命令行中双转义打印，然后在程序中单转转可用。换句话说，程序中可用的字符串将完全是原始（单转义）字符串，这正是我想要的。

@TrevorHickey 不，%q 是一个 Bash printfism。

【参考方案2】：

在 Bash 中安全转义任意字符串以用作命令行参数的一般过程是什么？

将每次出现的' 替换为'\''，然后将' 放在开头和结尾。

除单引号外的每个字符都可以在单引号分隔的字符串中逐字使用。没有办法将单引号放在单引号分隔的字符串中，但这很容易解决：结束字符串 (')，然后使用反斜杠添加单引号 (\') )，然后开始一个新字符串 (')。

据我所知，这将始终有效，没有例外。

【讨论】：

除了printf 答案（仅当您已经使用 bash 时才有效），这是线程中唯一正确的答案。

很好的答案！轻松适用于所有语言！您甚至不必逃避新行，适用于所有内容:)！

这应该是公认的答案，应该得到更多的支持

【参考方案3】：

您可以使用单引号来转义 Bash 的字符串。但是请注意，这不会像双引号那样扩展引号内的变量。在您的示例中，以下内容应该有效：

script.pl '!foo'

在 Perl 中，这取决于您用来生成外部进程的函数。例如，如果您使用system 函数，您可以将参数作为参数传递，因此无需转义它们。当然，对于 Perl，您仍然需要转义引号：

system("/usr/bin/rm", "-fr", "/tmp/CGI_test", "/var/tmp/CGI");

【讨论】：

如果参数包含自己的单引号，则使用单引号似乎不起作用，例如"Jeff's!"。单引号也不能被反斜杠转义。

@qntm：使用以下内容："Jeff's"'!'。将其视为两个独立的令牌并彼此相邻："Jeff's" 和 '!'

要在单引号字符串中使用单引号，请将其替换为 '\'' 。例如，'杰夫'\''s！ .这对人类来说是荒谬的，但对于脚本来说却又好又简单：首先使用正则表达式将 ' 转换为 '\''，然后将其括在 '...' 中。

【参考方案4】：

sub text_to_shell_lit(_) 
   return $_[0] if $_[0] =~ /^[a-zA-Z0-9_\-]+\z/;
   my $s = $_[0];
   $s =~ s/'/'\\''/g;
   return "'$s'";

请参阅前面的 post 以获取示例。

【参考方案5】：

当你看到你没有得到想要的输出时，使用下面的方法：

"""\special character"""

其中特殊字符可能包括! " * ^ % $ # @ ....

例如，如果你想创建一个 bash 生成另一个 bash 文件，其中有一个字符串并且你想给它分配一个值，你可以有以下示例场景：

Area="(1250,600),(1400,750)"
printf "SubArea="""\""""$Area"""\""""\n" > test.sh
printf "echo """\$"""SubArea" >> test.sh

那么test.sh文件就会有如下代码：

SubArea="(1250,600),(1400,750)"
echo $SubArea

为了提醒您有换行符\n，我们应该使用printf。

【参考方案6】：

Bash 仅在交互模式下解释感叹号。

您可以通过以下方式防止这种情况：

set +o histexpand

在双引号内，您必须转义美元符号、双引号、反斜杠，我想说就是这样。

【讨论】：

这很有用，但如果我可以避免每次命令调用都必须关闭和打开 histexpand，那就太好了。

如果您正在编写 shell 脚本，则不必这样做。感叹号仅在交互模式下解释。您可以在 bashrc 中将其关闭。

我不是在写 shell 脚本。

【参考方案7】：

这不是一个完整的答案，但我发现有时通过连接它们来组合单个字符串的两种类型的引号很有用，例如 echo "$HOME"'/foo!?.*' 。

【参考方案8】：

FWIW，我编写了这个函数，它使用不同的凭据调用一组参数。 su 命令需要序列化所有参数，这需要将它们全部转义，我使用上面建议的 printf 成语做到了。

$ escape_args_then_call_as myname whoami

escape_args_then_call_as() 
    local user=$1
    shift

    local -a args
    for i in "$@"; do
        args+=( $(printf %q "$i") )
    done

    sudo su "$user" -c "$args[*]"

【讨论】：

感谢您针对十年后仍然相关的挑战发布解决方案。但是您的解决方案会删除循环中任何单词周围的单引号。在 shell 文件测试中试试这个（在 cmets 中未格式化的代码，在这篇文章中使用编辑查看格式化）：``` #!/bin/bash for i in "$@"; do args+=( $(printf %q "$i") ) done echo "$args[*]" ``` 然后命令：./test sed -i 's/foo/bar' fname 结果：sed -is/foo/bar fname