2

私は/mysqlをbashするのは初めてですが、例や他の人の問題を読んでたくさんの助けを見つけました...しかし、私自身の1つに遭遇しました。ファイルが特定のディレクトリに追加されるたびに、MySQL データベース テーブルに行を挿入しようとしています (このために inotifywait を使用しています) とにかくここに私の bash スクリプトがあります

#!/bin/bash

while true; do
        filename= "false"
        filename= inotifywait --format "%f" -e create /var/www/media2net/torrent
        date_field= date +"%F":"%T"
        mysql --host=localhost --user=root --password=admin Media2net << EOF
        insert into video (title, description, url_video, upload_date)
                values('testing','default_description','$filename', '$date_feild');
        EOF
        echo $filename
done

このことから、変数$filenameが bash スクリプトの最後に適切に保持されていることを echo で確認しましたが、テーブルのエントリを見ると、列 url_video にはデフォルト値があり、によって表される文字列ではありません$filename

私が結論付けることができることから、変数$filename はEOFを介して渡されません。ここに示されているように試してみまし

これと同様に

シェル スクリプトを使用してデータをリモート MYSQL データベースに挿入する

変数をクエリに渡す方法を見つけることができる場所の助けをいただければ幸いです

4

1 に答える 1

3

あなたの例でfilenameは、空の文字列に設定されています(=記号の後のスペースに注意してください!)。あなたが必要

filename=$(inotifywait --format "%f" -e create /var/www/media2net/torrent)

同様に、

date_field=$(date +"%F:%T")

コマンドにタイプミスがあることに注意してくださいmysqldate_fieldおよび注date_feild):

mysql --host=localhost --user=root --password=admin Media2net <<EOF
insert into video (title, description, url_video, upload_date)
values('testing','default_description','$filename', '$date_field');
EOF

ファイル名を制御していることを願っています。などの一重引用符を含むファイル名を想像してみてくださいhello'howdy。クエリに問題があります。さらに悪いことに、悪意のあるユーザーが という名前のファイルを配置するとwhatever','something'); evil_mysql_command; whatever、悪意のあるコマンドが実行されます。1 つの可能性は、次のように使用してファイル名をサニタイズするprintfことです。

printf -v filename '%q' "$(inotifywait --format "%f" -e create /var/www/media2net/torrent)"

これにより、少なくともファイル名に表示される可能性のある単一引用符がエスケープされます。Gordon Davisson のコメントを参照してください。このprintfトリックでは、考えられるすべての攻撃を防ぐことはできません。そのため、ファイルの名前を完全に制御してください。

これらすべての提案により、次のスクリプトが生成されます。

#!/bin/bash

while true; do
    printf -v filename '%q' "$(inotifywait --format "%f" -e create /var/www/media2net/torrent)"
    date_field=$(date +"%F:%T")
    mysql --host=localhost --user=root --password=admin Media2net <<EOF
    insert into video (title, description, url_video, upload_date) 
    values('testing','default_description','$filename', '$date_field');
    EOF
    echo "$filename"
done

編集。

コメントで質問に答えるには:

スクリプトが端末に正しくエコー$filenameされたのに、MySQL に正しく送信されなかったのはなぜですか。これは、スペースで始まる文字列と関係がありますか? または完全に何か他のもの?

それは、次のようなことをするときです。

whatever= command

次に、変数whateverが空の文字列に設定され、コマンドcommandが実行されます (whatever変数は環境変数として設定されます)。例えば、

$ IFS='c' read a b c <<< "AcBcC"
$ echo "$a $b $c"
A B C
$ echo $IFS

$

あなたのスクリプトでは、変数 filename は実際にはグローバルに設定されていませんでした。これを行うことで確認できます:

$ filename= "false"
$ echo "$filename"

$

何が起こるかというと、環境変数filenameが空の文字列に設定され、falseその環境変数を使用してコマンド (たまたま存在する) が起動され、完了です。

これを行う場合:

filename= inotifywait --format "%f" -e create /var/www/media2net/torrent

変数filenameは空の文字列に設定され、コマンドは環境変数としてinotifywait ...実行されます (ただし、実際には気にしません)。そして、それがあなたの端末で見たものです! それはこのコマンドの出力でした。次に、おそらく空の行が表示されました。これは次の出力ですfilenameinotifywait

echo $filename

と同等でした

echo

変数filenameが空の文字列に展開されるためです。

お役に立てれば。

于 2012-12-15T14:47:03.747 に答える