详谈python中subprocess shell=False与shell=True的区别

更新时间：2021年04月23日 09:36:40 作者：逍遥自在017

这篇文章主要介绍了详谈python中subprocess shell=False与shell=True的区别说明，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧

shell=True参数会让subprocess.call接受字符串类型的变量作为命令，并调用shell去执行这个字符串，当shell=False是，subprocess.call只接受数组变量作为命令，并将数组的第一个元素作为命令，剩下的全部作为该命令的参数。

举个例子来说明

from subprocess import call  
import shlex  
cmd = "cat test.txt; rm test.txt"  
call(cmd, shell=True)

上述脚本中，shell=True的设置，最终效果是执行了两个命令

cat test.txt 和 rm test.txt

把shell=True 改为False，

from subprocess import call  
import shlex  
cmd = "cat test.txt; rm test.txt"  
cmd = shlex(cmd)  
call(cmd, shell=False)

则调用call的时候，只会执行cat的命令，且把 "test.txt;" "rm" "test.txt" 三个字符串当作cat的参数，所以并不是我们直观看到的好像有两个shell命令了。

也许你会说，shell=True 不是很好吗，执行两个命令就是我期望的呀。但其实，这种做法是不安全的，因为多个命令用分号隔开，万一检查不够仔细，执行了危险的命令比如 rm -rf / 这种那后果会非常严重，而使用shell=False就可以避免这种风险。

总体来说

看实际需要而定，官方的推荐是尽量不要设置shell=True。

补充： python subprocess模块的shell参数问题

昨天调试其他同学的代码时，发现对于subprocess模块所传的args变量，与shell变量存在关联，传值不当会有各种问题。比较有趣，就记录一下。

根据subprocess模块的args定义如下：

args is required for all calls and should be a string, or a sequence of program arguments. Providing a sequence of arguments is generally preferred, as it allows the module to take care of any required escaping and quoting of arguments (e.g. to permit spaces in file names). If passing a single string, either shell must be True (see below) or else the string must simply name the program to be executed without specifying any arguments.

对于args，可传string，也可传list，但当传string时，shell的值必须设为True。

当shell为True时

If shell is True, the specified command will be executed through the shell. This can be useful if you are using Python primarily for the enhanced control flow it offers over most system shells and still want convenient access to other shell features such as shell pipes, filename wildcards, environment variable expansion, and expansion of ~ to a user's home directory.

就是调用了系统的 sh 来执行命令（args的string），这样会导致一些猥琐的安全问题，类似于SQL Injection攻击：

from subprocess import call
filename = input("What file would you like to display?\n")
What file would you like to display?
non_existent; rm -rf / #
call("cat " + filename, shell=True) # Uh-oh. This will end badly...

所以，安心用shell＝False吧，记得args传list。

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。如有错误或未考虑完全的地方，望不吝赐教。

您可能感兴趣的文章:

TENSORFLOW变量作用域（VARIABLE SCOPE）
这篇文章主要介绍了TENSORFLOW变量作用域（VARIABLE SCOPE），文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-01-01
python pygame 愤怒的小鸟游戏示例代码
这篇文章主要介绍了python pygame 愤怒的小鸟游戏，本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2021-02-02
Python Pandas中的shift()函数实现数据完美平移应用场景探究
shift() 是 Pandas 中一个常用的数据处理函数,它用于对数据进行移动或偏移操作,常用于时间序列数据或需要计算前后差值的情况,本文将详细介绍 shift() 函数的用法,包括语法、参数、示例以及常见应用场景
2024-01-01
python基于tkinter图形化编程实现简易计算器功能
这篇文章主要为大家详细介绍了python基于tkinter图形化编程实现简易计算器功能，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-07-07
一文搞懂Python中Pandas数据合并
pandas是基于NumPy的一种工具，该工具是为了解决数据分析任务而创建的。Pandas纳入了大量库和一些标准的数据模型，提供了高效操作大型数据集的工具。pandas提供大量快速便捷地处理数据的函数和方法。你很快就会发现，它是使Python强大而高效的数据分析环境的重要因素之一
2021-11-11
一文详解Python中的Map,Filter和Reduce函数
这篇文章主要介绍了一文详解Python中的Map,Filter和Reduce函数,本文重点介绍Python中的三个特殊函数Map,Filter和Reduce，以及如何使用它们进行代码编程
2022-08-08
python+influxdb+shell编写区域网络状况表
这篇文章主要为大家详细介绍了python+influxdb+shell编写区域网络状况表，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-07-07
Python解析器Cpython的GIL解释器锁工作机制
这篇文章主要为大家介绍了Cpython的GIL解释器锁工作机制掌握示例详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-07-07
解决python中os.system调用exe文件的问题
这篇文章主要介绍了解决python中os.system调用exe文件的问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-05-05
对numpy中向量式三目运算符详解
今天小编就为大家分享一篇对numpy中向量式三目运算符详解，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2018-10-10