详谈python中subprocess shell=False与shell=True的区别

shell=True参数会让subprocess.call接受字符串类型的变量作为命令，并调用shell去执行这个字符串，当shell=False是，subprocess.call只接受数组变量作为命令，并将数组的第一个元素作为命令，剩下的全部作为该命令的参数。

举个例子来说明

from subprocess import call  
import shlex  
cmd = "cat test.txt; rm test.txt"  
call(cmd, shell=True)

上述脚本中，shell=True的设置，最终效果是执行了两个命令

cat test.txt 和 rm test.txt

把shell=True 改为False，

from subprocess import call  
import shlex  
cmd = "cat test.txt; rm test.txt"  
cmd = shlex(cmd)  
call(cmd, shell=False)

则调用call的时候，只会执行cat的命令，且把 "test.txt;" "rm" "test.txt" 三个字符串当作cat的参数，所以并不是我们直观看到的好像有两个shell命令了。

也许你会说，shell=True 不是很好吗，执行两个命令就是我期望的呀。但其实，这种做法是不安全的，因为多个命令用分号隔开，万一检查不够仔细，执行了危险的命令比如 rm -rf / 这种那后果会非常严重，而使用shell=False就可以避免这种风险。

总体来说

看实际需要而定，官方的推荐是尽量不要设置shell=True。

补充： python subprocess模块的shell参数问题

昨天调试其他同学的代码时，发现对于subprocess模块所传的args变量，与shell变量存在关联，传值不当会有各种问题。比较有趣，就记录一下。

根据subprocess模块的args定义如下：

args is required for all calls and should be a string, or a sequence of program arguments. Providing a sequence of arguments is generally preferred, as it allows the module to take care of any required escaping and quoting of arguments (e.g. to permit spaces in file names). If passing a single string, either shell must be True (see below) or else the string must simply name the program to be executed without specifying any arguments.

对于args，可传string，也可传list，但当传string时，shell的值必须设为True。

当shell为True时

If shell is True, the specified command will be executed through the shell. This can be useful if you are using Python primarily for the enhanced control flow it offers over most system shells and still want convenient access to other shell features such as shell pipes, filename wildcards, environment variable expansion, and expansion of ~ to a user's home directory.

就是调用了系统的 sh 来执行命令（args的string），这样会导致一些猥琐的安全问题，类似于SQL Injection攻击：

from subprocess import call
filename = input("What file would you like to display?\n")
What file would you like to display?
non_existent; rm -rf / #
call("cat " + filename, shell=True) # Uh-oh. This will end badly...

所以，安心用shell＝False吧，记得args传list。

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。如有错误或未考虑完全的地方，望不吝赐教。

来源：https://blog.csdn.net/xiaoyaozizai017/article/details/72794469