JDK1.5 ProcessBuilder
引言
在企业级应用开发中,我们常常遇到需要在Java应用程序内部执行外部程序或脚本的情况。例如,可能需要调用系统命令、运行批处理文件或执行shell脚本以完成某些特定任务。本文将探讨两种常见的方法——java.lang.Runtime类和java.lang.ProcessBuilder类——并分析它们在执行程序/脚本方面的优缺点,旨在为内网服务提供执行能力时提供决策依据。
背景
我们的目标是在内网服务中无缝集成执行外部程序或脚本的功能。这要求所选方法必须稳定、安全且易于集成到现有的Java应用程序中。因此,对Runtime.exec()和ProcessBuilder.start()进行了详细的比较研究。
Runtime.exec()
java.lang.Runtime类提供了运行时环境的基本功能,其中exec(String command)和exec(String[] cmdarray)方法允许从Java应用程序中启动新的进程。这个方法简单直接,适合执行简单的命令行程序。
- 优点:
- 简单易用,只需一行代码即可启动进程。
- 兼容性好,几乎所有Java版本都支持。
- 缺点:
- 配置选项有限,如环境变量、工作目录等,需要通过复杂的命令行参数传递。
- 安全性问题,容易受到命令注入攻击。
ProcessBuilder
java.lang.ProcessBuilder类提供了更高级、更灵活的方式来启动新进程。它允许开发者配置进程的多个方面,如环境变量、工作目录等。
- 优点:
- 更加灵活,可以设置工作目录、环境变量等。
- 提供了标准输入,输出,错误重定向接口
- 提供了更好的控制,可以避免一些安全风险。
- 缺点:
- 相比Runtime.exec(), 需要更多的代码来设置和启动进程。
- 对于简单的命令执行,可能会显得有些过于复杂。
实践案例
为了演示这两种方法的差异,我们将以执行一个简单的shell脚本来进行比较。假设我们需要执行一个名为example.sh的脚本,该脚本位于项目的根目录下。
使用Runtime.exec()
String command = "sh example.sh";
try {
Process process = Runtime.getRuntime().exec(command);
// 读取输出流...
} catch (IOException e) {
e.printStackTrace();
}
使用ProcessBuilder
List<String> commands = new ArrayList<>();
commands.add("sh");
commands.add("example.sh");
ProcessBuilder pb = new ProcessBuilder(commands);
pb.directory(new File("."));
pb.redirectErrorStream(true);
try {
Process process = pb.start();
// 读取输出流...
} catch (IOException e) {
e.printStackTrace();
}
Runtime.exec()源码分析
public Process exec(String[] cmdarray, String[] envp, File dir)
throws IOException {
return new ProcessBuilder(cmdarray)
.environment(envp)
.directory(dir)
.start();
}
通过Runtime.exec(String command)的调用栈可以看到,Runtime.exec()调用都会走到上述的三参数重载方法,那么为什么说使用Runtime.exec()容易收到命令注入攻击呢,其原因就在Runtime.exec(String command)这个重载方法,如果使用字符串形式的命令 (command),则整个命令字符串会被直接传递给操作系统。如果这个字符串中包含用户输入的部分,那么恶意用户可以通过精心构造输入来插入额外的命令或参数,从而改变原本的命令意图。
相比之下,ProcessBuilder 推荐使用命令的数组形式 (cmdarray)。这样,每个参数都被明确指定,减少了命令拼接带来的风险。数组中的每个元素都是一个单独的字符串,它们会被分别传递给操作系统,降低了命令注入的风险
总结
在选择执行外部程序或脚本的方法时,应根据具体需求权衡。如果需求简单,Runtime.exec()可能是更快的解决方案;但对于更复杂的需求,如需要更精细的控制或处理长时间运行的进程,ProcessBuilder则是一个更合适的选择。在安全性方面,ProcessBuilder提供了更多的机制来防止潜在的安全漏洞。
结语
通过本次调研,我们了解到Runtime.exec()和ProcessBuilder在执行程序/脚本方面的特性与限制。在实际应用中,选择合适的工具至关重要,以确保内网服务的稳定性和安全性。希望本文能为面临类似需求的开发者提供有价值的参考。
请根据你的具体应用场景和需求,选择最符合你项目的技术方案。
