パスワードがコマンドとして使用されている私は、Pythonのファイルからコマンドを実行しようとしている

Question

：

p = subprocess.Popen("mysqldump -h" + hostname + " -u" + mysql_user + " --password=" + mysql_pw + " " + db + " > dump_" + hostname + "_" + timestamp + ".sql", shell=True) 

しかし--password=とさえ-pキープは自分のパスワード文字列

パスワードにハングアップ取得このような構造に似ています：

Z@F&sfeafxegwa 

コマンドラインエラー：

パスワード自体に含めることができる場合

cmd = "mysqldump -h {} -u {} -p'{}' {} > dump_{}_{}.sql".format(
    hostname, mysql_user, mysql_pw, db, hostname, timestamp) 
subprocess.run(cmd, shell=True, check=True) 

しかし、これは動作しません：あなたは例えば、シェルによって特別扱いされることから（例えば&など）シェルのメタ文字を保護するためにパスワードを引用する必要が3210

'sfeafxegwa' is not recognized as an internal or external command, 
operable program or batch file. 

Answer 1

はすでにコメントで述べたように、shell=Trueを使用しないでください。 https://docs.python.org/3/library/subprocess.html#security-considerationsを参照してください。

シェルを分割する代わりに、引数のリストを直接Popenコンストラクタに渡します。ドキュメントの古いバージョンで説明shell=Trueと

with open('dump_{}_{}.sql'.format(hostname, timestamp), 'w') as dump_file: 
    p = subprocess.Popen(
     [ 
      'mysqldump', '-h', hostname, '-u', mysql_user, 
      '--password={}'.format(mysql_pw), db 
     ], 
     stdout=dump_file 
    ) 

---

問題が優れている：https://docs.python.org/2/library/subprocess.html#frequently-used-arguments

Answer 2

引用符。より良い代替手段がsubprocessに引数のリストを渡すとリダイレクトを自分で行うには、次のようになります。

args = ["mysqldump", "-h", hostname, "-u", mysql_user, "-p{}".format(mysql_pw), db] 
outfile = "dump_{}_{}.sql".format(hostname, timestamp) 

with open(outfile, "w") as f: 
    subprocess.run(args, check=True, stdout=f)