linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

Wichtige Links

Angeheftet Python3

1 Beiträge 1 Kommentatoren 170 Aufrufe

F Offline

F Offline
FrankM
schrieb am zuletzt editiert von FrankM

#1

Welcome to Python.org

The official home of the Python Programming Language

Python.org (www.python.org)

Python lernen - Python Kurs für Anfänger und Fortgeschrittene

Python programmieren lernen als kostenloser Kurs. Schritt für Schritt bauen wir über Tutorials unser Wissen auf, lösen Aufgaben und programmieren Spiele.

(www.python-lernen.de)

GitHub - trekhleb/learn-python: 📚 Playground and cheatsheet for learning Python. Collection of Python scripts that are split by topics and contain code examples with explanations.

📚 Playground and cheatsheet for learning Python. Collection of Python scripts that are split by topics and contain code examples with explanations. - trekhleb/learn-python

GitHub (github.com)

PyQt Tutorial, Make GUI apps with Python - Python

(pythonprogramminglanguage.com)

https://pysimplegui.readthedocs.io/en/latest/

File not found · PySimpleGUI/PySimpleGUI

Python GUIs for Humans! PySimpleGUI is the top-rated Python application development environment. Launched in 2018 and actively developed, maintained, and supported in 2024. Transforms tkinter, Qt, WxPython, and Remi into a simple, intuitive, and fun experience for both hobbyists and expert users. - File not found · PySimpleGUI/PySimpleGUI

GitHub (github.com)

Python - Functions

Python - Functions - A Python function is a block of organized, reusable code that is used to perform a single, related action. Functions provide better modularity for your application and a high degree of code reusing.

(www.tutorialspoint.com)

Python Tutorial

Python Tutorial - Today, Python is one of the most popular programming languages. Although it is a general-purpose language, it is used in various areas of applications such as Machine Learning, Artificial Intelligence, web development, IoT, and more.

(www.tutorialspoint.com)
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0

F

Python - mehrsprachiges GUI
Geplant Angeheftet Gesperrt Verschoben Python3 python3
1

0 Stimmen

1 Beiträge

119 Aufrufe

Niemand hat geantwortet
F

Restic UI - QtWaitingSpinner unexpected type 'float'
Geplant Angeheftet Gesperrt Verschoben Restic UI restic-ui python3
2

0 Stimmen

2 Beiträge

215 Aufrufe

F

Der Autor hat meine Anpassungen um ein paar Änderungen erweitert und in sein Repo eingepflegt. Der QtWaitingSpinenr ist jetzt auch 3.10 kompatibel 🤓

1b268980-92ca-42a4-89a0-a6e4b7ab9378-grafik.png
F

Django - Webframework
Geplant Angeheftet Gesperrt Verschoben Python3 django python3
1

0 Stimmen

1 Beiträge

105 Aufrufe

Niemand hat geantwortet
F

Restic UI - Changelog
Geplant Angeheftet Gesperrt Verschoben Restic UI restic-ui python3 pyqt5
3

0 Stimmen

3 Beiträge

264 Aufrufe

F

v1.5.0 - Release for restic v0.14.0 with compression and migration tool
F

Python3 - QInputDialog
Geplant Angeheftet Gesperrt Verschoben Python3 python3
1

0 Stimmen

1 Beiträge

135 Aufrufe

Niemand hat geantwortet
F

Python3 - subprocess.run
Geplant Angeheftet Gesperrt Verschoben Python3 python3
2

0 Stimmen

2 Beiträge

177 Aufrufe

F

Ich möchte das Thema noch mal ausgraben. Bin beim Recherchieren über diese Links gestolpert, die mein Interesse geweckt haben.

Link Preview Image Python Pipes to Avoid Shells — OpenStack Security Advisories 0.0.1.dev268 documentation
favicon
(security.openstack.org)

B603: subprocess_without_shell_equals_true — Bandit documentation
favicon
(bandit.readthedocs.io)

Da ich aktuell nur eine Desktop Anwendung entwickle, ist das Thema Sicherheit nicht ganz so wichtig, weil wer hackt sich schon selber!? Aber, da man ja nie weiß, wie so ein Tool evt. mal benutzt wird, sollte man von Anfang an auf ein paar Dinge achten.

Ok, schauen wir uns das mal genauer an.
Link 1 - shell=True
Ich kopiere mal das Beispiel aus dem Link.
def count_lines(website): return subprocess.check_output('curl %s | wc -l' % website, shell=True)
Ok, das Problem ist
shell=True
Ein Beispiel aus meinem Projekt
result = subprocess.run(['restic', '-r', backup_data[row].repository, 'stats'], input=pass_word.pw[0], capture_output=True, text=True)
Gesetzt wird der in meinem Beispiel nicht. Besuchen wir mal die Webseite vom subprocess.run

https://docs.python.org/3/library/subprocess.html?highlight=subprocess run#subprocess.run

Wenn ich das jetzt richtig verstehe,
subprocess.run(args, *, stdin=None, input=None, stdout=None, stderr=None, capture_output=False, shell=False, cwd=None, timeout=None, check=False, encoding=None, errors=None, text=None, env=None, universal_newlines=None, **other_popen_kwargs)
dann ist standardmäßig
shell=False
gesetzt. Damit ist das in meinem Projekt kein Problem.
Link 2 - B603: subprocess_without_shell_equals_true
Ein Tool auf gitlab.com wirft Security Warnings aus, dabei war diese. Schauen wir mal, was uns das sagen möchte.

Python possesses many mechanisms to invoke an external executable. However, doing so may present a security issue if appropriate care is not taken to sanitize any user provided or variable input.

Ok, es geht also um die Prüfung von Eingaben bzw. Variablen. Der Merksatz "Keine Benutzereingabe wird ungeprüft übernommen!" ist doch mit das Wichtigste, wenn man irgendwas programmiert. Nochmal mein Beispiel von oben.
result = subprocess.run(['restic', '-r', backup_data[row].repository, 'stats'], input=pass_word.pw[0], capture_output=True, text=True)
Ich übergebe dem Prozess einige Eingaben / Variablen.
backup_data[row].repository pass_word.pw[0]
Lesen wir wieder ein wenig in der Dokumentation von subprocess.run

args is required for all calls and should be a string, or a sequence of program arguments. Providing a sequence of arguments is generally preferred, as it allows the module to take care of any required escaping and quoting of arguments (e.g. to permit spaces in file names). If passing a single string, either shell must be True (see below) or else the string must simply name the program to be executed without specifying any arguments.

Das Wichtigste in Kürze Providing a sequence of arguments is generally preferred

Der Aufruf von subprocess.run erwartet als erste Übergabe args
subprocess.run(args, *, ....
Mein Beispiel
result = subprocess.run(['restic', '-r', backup_data[row].repository, 'stats'], ....
Das zwischen den eckigen Klammern ist args. Laut der Anleitung ist es empfohlen, das als ein Argument zu übergeben, also so. Somit ist dafür gesorgt, das das Modul die Argumente selbst ein wenig "überwacht".

as it allows the module to take care of any required escaping and quoting of arguments (e.g. to permit spaces in file names).

Somit hätten man schon mal was für sie "Sicherheit" getan.
args = ['restic', '-r', backup_data[row].repository, 'stats'] result = subprocess.run(args, ....
Man sollte trotzdem auf diese beiden Variablen
* backup_data[row].repository * pass_word.pw[0]
ein Auge behalten. Ich denke, das habe ich in meinem Projekt eingehalten, indem ich Pfadangabe mit den Systemwerkzeugen auswählbar mache, keine Texteingaben! Passwörter und andere Bezeichnung werden mit regex auf korrekte Eingaben geprüft usw.
Fazit
Wieder viel gelernt und ich denke, es passt so weit alles. Bei der ganzen Spielerei, dann noch entdeckt, das ich im Code dieses Argument drin hatte.
check=False
Das ist aber Standard, somit kann das weg. Habe das im kompletten Projekt dann entfernt und mir fällt gerade auf, da der Code immer gleich ist, muss das jetzt eigentlich alles in eine Funktion 😉 Mal auf die ToDo-Liste drauf schreiben.
F

Python3 - zwei Webseiten als Empfehlung
Geplant Angeheftet Gesperrt Verschoben Python3 pyqt5 python3
1

0 Stimmen

1 Beiträge

168 Aufrufe

Niemand hat geantwortet
F

Wichtige Information!
Geplant Angeheftet Gesperrt Verschoben Python3
1

0 Stimmen

1 Beiträge

178 Aufrufe

Niemand hat geantwortet