孤惯|Python初学者请注意！别这样直接运行python命令( 二 ) 晓查编译整理量子位报道|公众号QbitAIP

然后创建2个目录：install_dir和attacker_dir 。将上面的程序放在install_dir中。然后cd attacker_dir将复杂的恶意软件放在这里，并把它的名字改成tool.py调用的optional_extra模块：
# optional_extra.pyprint("lol ur pwnt")我们运行一下它：
~/attacker_dir$ python ../install_dir/tool.pyextra not found, that's fine到这里还很好，没有出现任何问题。
但是这个习惯用法有一个严重的缺陷：第一次调用它时，如果$PYTHONPATH以前是空的或者未设置，那么它会包含一个空字符串，该字符串被解析为当前目录。
让我们再尝试一下：
~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";~/attacker_dir$ python ../install_dir/tool.pylol ur pwnt看到了吗？恶意脚本接管了程序。
为了安全起见，你可能会认为，清空$PYTHONPATH总该没问题了吧？Naive！还是不安全！
~/attacker_dir$ export PYTHONPATH="";~/attacker_dir$ python ../install_dir/tool.pylol ur pwnt这里发生的事情是， $PYTHONPATH变成空的了，这和unset是不一样的。
因为在Python里， os.environ.get(“PYTHONPATH”) == “”和os.environ.get(“PYTHONPATH”) == None是不一样的。
如果要确保$PYTHONPATH已从shell中清除，则需要使用unset命令处理一遍，然后就正常了。
设置$PYTHONPATH曾经是设置Python开发环境的最常用方法。但你以后最好别再用它了， virtualenv可以更好地满足开发者需求。如果你过去设置了一个$PYTHONPATH ，现在是很好的机会，把它删除了吧。
如果你确实需要在shell中使用PYTHONPATH ，请用以下方法：
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"在bash和zsh中， $PYTHONPATH变量的值会变成：
$ echo "${PYTHONPATH}"new_entry_1:new_entry_2如此便保证了环境变量$PYTHONPATH中没有空格和多余的冒号。
如果你仍在使用$PYTHONPATH ，请确保始终使用绝对路径！
另外，在下载文件夹中直接运行Jupyter Notebook也是一样危险的，比如jupyter notebook ~/Downloads/anything.ipynb也有可能将恶意程序引入到代码中。
预防措施最后总结一下要点。

如果要在下载文件夹~/Downloads中使用Python编写的工具，请养成良好习惯，使用pip所在路径/path/to/venv/bin/pip ，而不是输入/path/to/venv/bin/python -m pip 。
避免将~/Downloads作为当前工作目录，并在启动之前将要使用的任何软件移至更合适的位置。

了解Python从何处获取执行代码非常重要。赋予其他人执行任意Python命令的能力等同于赋予他对你电脑的完全控制权！
希望以上文字对初学Python的你有所帮助。
原文链接：
— 完 —
量子位 QbitAI · 头条号签约
【孤惯|Python初学者请注意！别这样直接运行python命令】关注我们，第一时间获知前沿科技动态