本篇內(nèi)容介紹了“如何正確運行python命令”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

靈璧網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)建站！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項目制作，到程序開發(fā)，運營維護(hù)。創(chuàng)新互聯(lián)建站2013年開創(chuàng)至今到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站。

Python已經(jīng)成為全球最受歡迎的編程語言之一。原因當(dāng)然是Python簡明易用的腳本語法，只需把一段程序放入.py文件中，就能快速運行。

而且Python語言很容易上手模塊。比如你編寫了一個模塊my_lib.py，只需在調(diào)用這個模塊的程序中加入一行import my_lib即可。

這樣設(shè)計的好處是，初學(xué)者能夠非常方便地執(zhí)行命令。但是對攻擊者來說，這等于是為惡意程序大開后門。

尤其是一些初學(xué)者將網(wǎng)上的Python軟件包、代碼下載的到本地~/Downloads文件夾后，就直接在此路徑下運行python命令，這樣做會給電腦帶來極大的隱患。

別再圖方便了

為何這樣做會有危險?首先，我們要了解Python程序安全運行需要滿足的三個條件：

• 系統(tǒng)路徑上的每個條目都處于安全的位置;

• “主腳本”所在的目錄始終位于系統(tǒng)路徑中;

• 若python命令使用-c和-m選項，調(diào)用程序的目錄也必須是安全的。

如果你運行的是正確安裝的Python，那么Python安裝目錄和virtualenv之外唯一會自動添加到系統(tǒng)路徑的位置，就是當(dāng)前主程序的安裝目錄。

這就是安全隱患的來源，下面用一個實例告訴你為什么。

如果你把pip安裝在/usr/bin文件夾下，并運行pip命令。由于/usr/bin是系統(tǒng)路徑，因此這是一個非常安全的地方。

但是，有些人并不喜歡直接使用pip，而是更喜歡調(diào)用/path/to/python -m pip。

這樣做的好處是可以避免環(huán)境變量$PATH設(shè)置的復(fù)雜性，而且對于Windows用戶來說，也可以避免處理安裝各種exe腳本和文檔。

所以問題就來了，如果你的下載文件中有一個叫做pip.py的文件，那么你將它將取代系統(tǒng)自帶的pip，接管你的程序。

下載文件夾并不安全

比如你不是從PyPI，而是直接從網(wǎng)上直接下載了一個Python wheel文件。你很自然地輸入以下命令來安裝它：

~$ cd Downloads ~/Downloads$ python -m pip install ./totally-legit-package.whl

這似乎是一件很合理的事情。但你不知道的是，這么操作很有可能訪問帶有XSS  JavaScript的站點，并將帶有惡意軟件的的pip.py到下載文件夾中。

下面是一個惡意攻擊軟件的演示實例：

~$ mkdir attacker_dir ~$ cd attacker_dir~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py ~/attacker_dir$ python -m pip install requests lol ur pwnt

看到了嗎?這段代碼生成了一個pip.py，并且代替系統(tǒng)的pip接管了程序。

設(shè)置$PYTHONPATH也不安全

前面已經(jīng)說過，Python只會調(diào)用系統(tǒng)路徑、virtualenv虛擬環(huán)境路徑以及當(dāng)前主程序路徑

你也許會說，那我手動設(shè)置一下 $PYTHONPATH 環(huán)境變量，不把當(dāng)前目錄放在環(huán)境變量里，這樣不就安全了嗎?

非也!不幸的是，你可能會遭遇另一種攻擊方式。下面讓我們模擬一個“脆弱的”Python程序：

# tool.py try:import optional_extra except ImportError:print("extra not found, that's fine")

然后創(chuàng)建2個目錄：install_dir和attacker_dir。將上面的程序放在install_dir中。然后cd  attacker_dir將復(fù)雜的惡意軟件放在這里，并把它的名字改成tool.py調(diào)用的optional_extra模塊：

# optional_extra.py print("lol ur pwnt")

我們運行一下它：

~/attacker_dir$ python ../install_dir/tool.py extra not found, that's fine

到這里還很好，沒有出現(xiàn)任何問題。

但是這個習(xí)慣用法有一個嚴(yán)重的缺陷：第一次調(diào)用它時，如果$PYTHONPATH以前是空的或者未設(shè)置，那么它會包含一個空字符串，該字符串被解析為當(dāng)前目錄。

讓我們再嘗試一下：

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH"; ~/attacker_dir$ python ../install_dir/tool.py lol ur pwnt

看到了嗎?惡意腳本接管了程序。

為了安全起見，你可能會認(rèn)為，清空$PYTHONPATH總該沒問題了吧?Naive!還是不安全!

~/attacker_dir$ export PYTHONPATH=""; ~/attacker_dir$ python ../install_dir/tool.pylol ur pwnt

這里發(fā)生的事情是，$PYTHONPATH變成空的了，這和unset是不一樣的。

因為在Python里，os.environ.get(“PYTHONPATH”) == “”和os.environ.get(“PYTHONPATH”) ==  None是不一樣的。

如果要確保$PYTHONPATH已從shell中清除，則需要使用unset命令處理一遍，然后就正常了。

設(shè)置$PYTHONPATH曾經(jīng)是設(shè)置Python開發(fā)環(huán)境的最常用方法。但你以后最好別再用它了，virtualenv可以更好地滿足開發(fā)者需求。如果你過去設(shè)置了一個$PYTHONPATH，現(xiàn)在是很好的機會，把它刪除了吧。

如果你確實需要在shell中使用PYTHONPATH，請用以下方法：

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1" export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中，$PYTHONPATH變量的值會變成：

$ echo "${PYTHONPATH}" new_entry_1:new_entry_2

如此便保證了環(huán)境變量$PYTHONPATH中沒有空格和多余的冒號。

如果你仍在使用$PYTHONPATH，請確保始終使用絕對路徑!

另外，在下載文件夾中直接運行Jupyter Notebook也是一樣危險的，比如jupyter notebook  ~/Downloads/anything.ipynb也有可能將惡意程序引入到代碼中。

預(yù)防措施

最后總結(jié)一下要點。

• 如果要在下載文件夾~/Downloads中使用Python編寫的工具，請養(yǎng)成良好習(xí)慣，使用pip所在路徑/path/to/venv/bin/pip，而不是輸入/path/to/venv/bin/python  -m pip。

• 避免將~/Downloads作為當(dāng)前工作目錄，并在啟動之前將要使用的任何軟件移至更合適的位置。

了解Python從何處獲取執(zhí)行代碼非常重要。賦予其他人執(zhí)行任意Python命令的能力等同于賦予他對你電腦的完全控制權(quán)!

“如何正確運行python命令”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

網(wǎng)站標(biāo)題：如何正確運行python命令
文章來源：http://sd-ha.com/article48/popcep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、App開發(fā)、云服務(wù)器、小程序開發(fā)、虛擬主機、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)