У меня есть приложение node.js, которое использует команду child_process.execFile для запуска утилиты командной строки.
Я беспокоюсь, что пользователь сможет запускать команды локально (на ум приходит rm / -rf
ужасный сценарий).
Насколько безопасно использовать execFile для сценариев Bash? Любые советы, чтобы убедиться, что флаги, которые я передаю в execFile, экранируются блоком unix, на котором размещен сервер?
Редактировать
Чтобы быть более точным, мне больше интересно, могут ли аргументы, отправляемые в файл, интерпретироваться как команда и выполняться.
Другая проблема связана с самим сценарием bash, что технически выходит за рамки этого вопроса.