เมื่อใดก็ตามที่ฉันต้องเรียกใช้งานเชลล์สคริปต์จากเว็บcurl -s [url] | shฉันจะเปิดurlในเว็บเบราว์เซอร์ก่อนเพื่อให้แน่ใจว่าสคริปต์นั้นไม่เป็นอันตรายและปลอดภัยในการทำงาน
ฉันจำได้ว่าเห็นเคล็ดลับบรรทัดคำสั่งที่ทำให้สามารถอ่านสคริปต์จากบรรทัดคำสั่งแล้วยืนยันการทำงานหลังจากอ่านสคริปต์ ถ้าฉันจำได้ถูกต้องมันดูเหมือนว่าcurl -s [url] | something...here | shและไม่ต้องการติดตั้งซอฟต์แวร์ใด ๆ
ไม่มีใครรู้เคล็ดลับนี้
คำตอบ:
มียูทิลิตี้ที่moreutilsเรียกvipeว่าแสดง stdin ในตัวแก้ไขซึ่งคุณสามารถเปิดเผยและแก้ไขไฟล์ก่อนที่มันจะถูกส่งต่อไปยัง stdout
หากคุณไม่ต้องการติดตั้งmoreutilsคุณสามารถทำสิ่งที่คล้ายกันได้ดังนี้:
file=$(mktemp); curl -s "$url" > $file; $EDITOR $file; sh $file; rm $filemktempอยู่ในcoreutilsและมีโอกาสมากที่ติดตั้งอยู่บนระบบของคุณ
ฉันไม่สามารถนึกถึงยูทิลิตี้เดียวที่จะทำสิ่งที่คุณอธิบายได้ แต่มันก็ง่ายพอที่จะทำให้มันเป็นตัวอย่างของเชลล์
script=$(curl -s "$url")
printf "%s\nDo you want to run this script? [yN]" "$script"
read line
case $line in
[Yy]|[Yy][Ee][Ss]) sh -c "$script";;
esac
นี่ถือว่าสคริปต์เป็นไฟล์ข้อความ ไม่สนับสนุนไบต์ Null: ขึ้นอยู่กับเชลล์พวกมันอาจถูกลบออกหรืออาจทำให้บรรทัดหรือไฟล์ทั้งหมดถูกตัดทอน บรรทัดใหม่ทั้งหมดที่ท้ายไฟล์จะถูกลบออก (โครงสร้าง heredoc เพิ่มหนึ่งหลัง) ปกติแล้วนี่ไม่ใช่ปัญหาสำหรับสคริปต์ แต่อาจเป็นเช่นนั้นหากสคริปต์ลงท้ายด้วยไฟล์เก็บถาวรในรูปแบบไบนารีซึ่งแยกออกมา นี่ไม่ใช่วิธีที่เชื่อถือได้มากในการเผยแพร่ไฟล์เนื่องจากมีความเสี่ยงที่สำคัญของสคริปต์ไบนารีที่จะต้องทำการแปลผิดในบางจุด อย่างไรก็ตามคุณสามารถจัดการได้โดยการเขียนสคริปต์ไปยังไฟล์ชั่วคราว
script_file=$(mktemp)
curl -s "$url" | tee "$script_file"
printf "Do you want to run this script? [yN]"
read line
case $line in
[Yy]|[Yy][Ee][Ss]) sh "$script_file";;
esac
rm "$script_file"
มันยากที่จะจินตนาการว่าทำไมคุณถึงต้องการทำสิ่งนี้โดยลำพังที่ ๆ คุณจะพบซอร์ส (หรือแหล่งที่มา) ของสคริปต์เพื่อดาวน์โหลดและเรียกใช้งานเช่นนี้บ่อยครั้งพอที่จะต้องใช้เครื่องมือพิเศษ
ทำไมไม่เพียงแค่ดาวน์โหลดสคริปต์ด้วยcurl(หรือwgetหรือsnarfหรืออะไรก็ตาม) ตรวจสอบและแก้ไขมัน (มันเป็นสคริปต์ที่หายากที่จำเป็นเคยชินบางการปรับแต่งสำหรับระบบของคุณโดยเฉพาะ) และเรียกมัน - ทั้งโดยการทำให้มันเป็นปฏิบัติการด้วยchmodหรือsh scriptname?
lessหรือบางสิ่งบางอย่างแล้วถามคุณว่าคุณต้องการเรียกใช้หรือไม่ ฉันไม่เห็นว่ามันจะดีกว่าเพียงแค่ดาวน์โหลดสคริปต์ดูมันแล้วเรียกใช้ถ้ามันดูเหมือนว่าตกลง IMO มันจะแย่กว่านั้นมันจะไม่ให้ประโยชน์ใด ๆ แต่จะขจัดความยืดหยุ่นที่คุณได้รับจากการทำงานในเชลล์ของคุณ
ใช้บรรทัดคำสั่งนี้:
curl URL | ( cat > /tmp/file; read REPLY; [[ ! $REPLY =~ ^[Yy]$ ]] && cat /tmp/file ) | shคุณสามารถใช้ฟังก์ชั่นเล็ก ๆ เพื่อ:
curlsh()
{
curl "$1" \
| ( cat > /tmp/file;read REPLY; [[ ! $REPLY =~ ^[Yy]$ ]] && cat /tmp/file ) \
| sh
}
และกว่าใช้ด้วยวิธีนี้:
curlsh http://site.in.net/path/to/scriptสมมติว่าคุณอ่านรู้ -p (พร้อมท์) และสคริปต์ไม่จำเป็นต้องดำเนินการกับล่ามที่กำหนดโดย shebang:
curl URL | tee /tmp/x && read -p "execute?" key ; test $key = y && sh /tmp/x
$()ควรจะยกมาในบรรทัดแรก นอกจากนี้สิ่งนี้จะลบอักขระ NUL ในอินพุตซึ่งอาจเป็นอันตรายถึงชีวิต (ตัวอย่างเช่นในกรณีของสคริปต์ที่แตกไฟล์ด้วยตนเอง)