Rust 处理用户输入时避免命令行注入的核心是使用 std::process::Command 并以数组形式传递参数，严禁开启 shell(true) 拼接字符串。适用场景为后端服务调用系统工具或脚本，风险边界在于任何未经过滤的用户输入不得直接进入 shell 解释器。

命令速用版

// 不安全：拼接字符串，允许 shell 解释特殊字符
let cmd = format!("ls {}", user_input);
Command::new("sh").arg("-c").arg(&cmd).status();

// 安全：参数分离，操作系统直接执行
Command::new("ls").arg(user_input).status();

为什么会这样

命令注入的本质是用户输入被 shell 解释器当作指令执行。Rust 的 std::process::Command 默认不调用 shell，直接执行二进制文件，因此天然隔离了大部分注入风险。公开资料中没有看到可靠的量化数据表明 Rust 比其它语言更安全，但其内存安全机制减少了缓冲区溢出导致的漏洞利用面，参考来源提及注入类漏洞通常源于程序对用户输入的不当处理。

分步处理

第一步，输入验证。在接收用户输入后立即进行白名单校验，仅允许字母、数字或特定路径格式，参考 Loco 框架实践，可使用 validate 属性定义输入规则。

第二步，构造命令。始终使用 Command::new 指定程序名，使用 .arg() 逐个添加参数，避免使用 .arg(&format!("{} {}", a, b)) 拼接。

第三步，权限控制。确保运行 Rust 进程的系统账户不具备多余权限，避免以 root 身份执行包含用户输入的命令。

怎么验证是否生效

使用测试 payload 如 ; cat /etc/passwd 或 & rm -rf / 作为输入参数。如果程序仅将该字符串视为普通文件名参数而非指令执行，且返回文件不存在错误而非执行了删除操作，则防御生效。检查日志确认无异常子进程产生。

常见坑

避免在必须使用 shell 特性时直接传入用户输入，如管道符或重定向。若必须使用 shell，需先对输入进行严格转义或替换为安全 API。不要信任环境变量中的路径，防止 PATH 注入。

常见问题

Rust 能自动防止命令注入吗？

不能。Rust 内存安全不等同于逻辑安全，开发者仍需避免拼接命令字符串。

std::process::Command 安全吗？

默认安全。只要不调用 shell 解释器且参数分离传递，操作系统不会解释特殊字符。

如何处理需要 shell 功能的场景？

尽量避免。若必须使用，先将用户输入映射为预定义选项，而非直接传入 shell 命令。

参考来源

Rust 微服务安全加固：5 大漏洞防御策略，确保系统万无一失

3 分钟搞定 Rust 后端安全:Loco 防 XSS、CSRF 与注入攻击全方案