如何安全地确保变量仅包含有效的文件名？

给定以下脚本，我如何确保该参数中仅包含有效文件名/home/charlesingalls/，而不包含路径（../home/carolineingalls/）或通配符等？

我只希望脚本能够从给定的硬编码目录中删除单个文件。该脚本将以特权用户身份运行。

#!/bin/bash

rm -f /home/charlesingalls/"$1"

如果您只想删除其中的文件/home/charlesingalls（而不是子目录中的文件），那么这很简单：只需检查参数是否不包含/。

case "$1" in
  */*) echo 1>&2 "Refusing to remove a file in another directory"; exit 2;;
  *) rm -f /home/charlesingalls/"$1";;
esac

rm即使参数为.or ..或为空，此命令也可以运行，但在这种情况下rm将无害地删除目录。

通配符在这里不相关，因为不执行通配符扩展。

即使存在符号链接，这也是安全的：如果文件是符号链接，则符号链接（位于中/home/charlesingalls）将被删除，并且该链接的目标不受影响。

请注意，这假定/home/charlesingalls不能移动或更改。如果在脚本中对目录进行了硬编码，那应该可以，但是如果是根据变量确定的，则在rm命令运行时，该确定可能不再有效。

根据自变量是虚拟主机名的其他信息，您应该将白名单列入黑名单，而不是将其列入黑名单：请检查该名称是否是合理的虚拟主机名，而不只是禁止使用斜杠。我检查名称是否以小写字母或数字开头，并且除了小写字母，数字，点和破折号之外，是否不包含其他字符。

LC_CTYPE=C LC_COLLATE=C
case "$1" in
  *[!-.0-9a-z]*|[!0-9a-z]*) echo >&2 "Invalid host name"; exit 2;;
  *) rm -f /home/charlesingalls/"$1";;
esac

该答案假定$1允许包含子目录。如果您对$1应该使用简单目录名的简单情况感兴趣，请参阅其他答案之一。

双引号中的通配符不展开。由于$1用双引号引起来，所以通配符不是问题。

无论../和符号链接可以掩盖真正的文件的位置。下面显示的是一些测试，用于确定文件是否确实在（而不只是在表面上）在所需路径下。

较新的系统：使用 realpath

至于确定文件是否确实在文件中 /home/charlesingalls/，可以使用realpath：

realpath --relative-base=/home/charlesingalls/ "/home/charlesingalls/$1"  | grep -q '^/' && exit 1

exit 1如果由指定的文件不在$1目录下的任何位置，则以上命令将运行/home/charlesingalls/。 realpath规范化了整个路径，消除了符号链接和../。

realpath 是GNU coreutils的一部分，应在任何Linux系统上可用。

realpath需要GNU coreutils 8.15（2012年1月）或更高版本。

例子

为了演示realpath如何../确定文件的实际位置（例如，-q省略了grep 的选项，以便可以看到grep的实际输出）：

$ touch /tmp/test
$ realpath --relative-base=$HOME "$HOME/../../tmp/test" | grep '^/' && echo FAIL
/tmp/test
FAIL

为了演示它如何遵循符号链接：

$ ln -s /tmp/test ~/test
$ realpath --relative-base=$HOME "$HOME/test" | grep '^/' && echo FAIL
/tmp/test
FAIL

较旧的系统：使用 readlink -e

readlink通过符号链接和也可以对路径进行音化../：

readlink -e "$HOME/test" | grep -q "^$HOME" || exit 1

使用相同的示例文件：

$ readlink -e "$HOME/../../tmp/test" | grep "$HOME" || echo FAIL
FAIL
$ readlink -e "$HOME/test" | grep "^$HOME" || echo FAIL
FAIL

除了可以在较旧的GNU系统readlink上使用之外，BSD 上还可以使用的版本。

如果要完全禁止路径，最简单的方法是测试变量是否包含斜杠（/）。在bash中：

if [[ "$1" = */* ]] ; then...

不过，这将阻止所有路径，包括foo/bar。您可以测试..一下，但是这样可能会导致符号链接指向目标路径之外的目录。

如果您只想允许删除单个文件，我认为您不应该使用rm -r。

另外，根据您的操作，您可以使用系统的文件权限仅允许删除文件，而用户可以自己删除。像这样：

su charlesingalls -c "rm /home/charlesingalls/'$1'"

尽管正如@Gilles所评论的那样，这是一个引号问题：如果$1包含单引号，它将失败，因此应首先对此变量进行测试（例如，if [[ "$1" = *\'* ]] ; then fail...或者通过将一组有意义的字符列入白名单），或者将文件名传递给一个环境变量，例如

file="$1" su charlesingalls -c 'rm "/home/charlesingalls/$file"'