3回答

九州编程

通过shell执行程序意味着根据调用的shell的语法和语义规则来解释传递给程序的所有用户输入。充其量，这只会给用户带来不便，因为用户必须遵守这些规则。例如，必须转义包含特殊shell字符(如引号或空白)的路径。最坏的情况是，它会导致安全漏洞，因为用户可以执行任意程序。shell=True有时可以方便地使用特定的shell特性，如分词或参数展开。但是，如果需要这样的功能，则需要使用其他模块。os.path.expandvars()用于参数展开或shlex用于分词)。这意味着要做更多的工作，但要避免其他问题。简而言之：避免shell=True千方百计。

0 0

0