node.js - node.js：使用用户输入作为命令行参数是否安全？

不，这绝对不安全。用户可以智能地结束命令并执行单独的命令，并且根据您的节点应用程序运行的权限级别，将能够做很多事情。

我不确定您如何检索用户输入，但是，您应该解析输入以获取特定参数。例如，假设您想要传递arg，您应该从用户输入中获取并传递child_process.execFile(file, arg, ...)。

您可能还应该清理用户输入，这可以通过多种方式完成，包括使用清理库。通过对输入进行参数化，清理起来相当简单，同时也限制了可以传入的内容。

==================================================== ==========================

更新：

从理论上讲，如果您需要能够允许用户传递任何东西，您可以在一些封闭的环境中开始操作，比如可能是一个容器，尽管这相当复杂，并且取决于一个人想要多少你的系统，很有可能被pwned。