Eine einfache Installationsmethode für Docker (zum Beispiel) ist:
curl -sSL https://get.docker.com/ | shIch habe jedoch auch einige gesehen, die so aussehen (anhand des Docker-Beispiels):
sh -c "$(curl -sSL https://get.docker.com/)"Sie scheinen funktionell gleich zu sein, aber gibt es einen Grund, eine übereinander zu verwenden? Oder ist es nur eine Präferenz / ästhetische Sache?
(Seien Sie besonders vorsichtig, wenn Sie Skripte unbekannter Herkunft ausführen.)
Antworten:
Es gibt einen praktischen Unterschied.
curl -sSL https://get.docker.com/ | shstartet curlund verbindet shgleichzeitig den Ausgang von curlmit dem Eingang von sh. curlWird mit dem Download (ungefähr) so schnell wie shmöglich ausgeführt. Der Server kann Unregelmäßigkeiten im Timing erkennen und schädlichen Code einschleusen, der nicht sichtbar ist, wenn die Ressource einfach in eine Datei oder einen Puffer heruntergeladen oder in einem Browser angezeigt wird.
In sh -c "$(curl -sSL https://get.docker.com/)", curlist streng laufen , bevor der shausgeführt wird. Der gesamte Inhalt der Ressource wird heruntergeladen und an Ihre Shell übergeben, bevor die shgestartet wird. Ihre Shell startet erst, shwenn sie beendet curlwurde, und übergibt den Text der Ressource an sie. Der Server kann den shAnruf nicht erkennen . es wird erst gestartet, nachdem die Verbindung beendet ist. Dies ähnelt dem Herunterladen des Skripts in eine Datei.
(Dies ist im Docker-Fall möglicherweise nicht relevant, kann jedoch allgemein problematisch sein und zeigt einen praktischen Unterschied zwischen den beiden Befehlen auf.)
vulnerable to server-side detectionPhrase gesetzt. Es führt zu einem Blogbeitrag, der ausführlich erklärt, wie sie es erreichen. TL; DR: Machen Sie in Ihrem Skript eine Pause und beobachten Sie die Empfangsverzögerung auf dem Server.
Ich glaube, dass sie praktisch identisch sind. Es gibt jedoch seltene Fälle, in denen sie unterschiedlich sind.
$(cmd)wird durch die Ergebnisse von ersetzt cmd. Wenn die Länge dieses Ergebnisbefehls den von zurückgegebenen Wert für die maximale Argumentlänge überschreitet getconf ARG_MAX, wird das Ergebnis abgeschnitten, was zu unvorhersehbaren Ergebnissen führen kann.
Die Pipe-Option hat diese Einschränkung nicht. Jede Ausgabezeile des curlBefehls wird ausgeführt bash, sobald sie von der Pipe eingeht.
ARG_MAX liegt jedoch normalerweise im Bereich von 256.000 Zeichen. Für eine Docker-Installation würde ich sicher sein, beide Methoden zu verwenden. :-)
ARG_MAX, die Bash begrenzt ein einzelnes Argument auf 131072 Bytes auf meinem System, wenn getconf ARG_MAXgedruckt wird 2097152. Aber wie auch immer, Fehler oder Kürzung, es würde nicht funktionieren.
In curl -sSL https://get.docker.com/ | sh:
Beide Befehle curlund shwerden gleichzeitig in den jeweiligen Subshells gestartet
Das STDOUT von curlwird als STDIN an übergeben sh(dies ist, was Pipe |, tut)
In Erwägung nachstehender Gründe sh -c "$(curl -sSL https://get.docker.com/)":
Die Befehlsersetzung $()wird zuerst ausgeführt, dh curlzuerst in einer Subshell ausgeführt
Die Befehlsersetzung $()wird durch die STDOUT von ersetztcurl
sh -c (nicht interaktive, nicht angemeldete Shell) führt das STDOUT von aus curl
Ein Unterschied zwischen den beiden besteht darin, dass, wenn Sie nicht das gesamte Skript auf einmal herunterladen, das Skript an einem unbekannten Punkt zur Hälfte unterbrochen und die Bedeutung des Befehls geändert werden könnte hingerichtet. Es scheint also besser zu sein, zuerst die gesamte Datei herunterzuladen und dann auszuwerten.