<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 2, 2014 at 7:35 PM, Glynn Clements <span dir="ltr"><<a href="mailto:glynn@gclements.plus.com" target="_blank">glynn@gclements.plus.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1fd" class="a3s" style="overflow:hidden"> kwargs['shell'] = True<br>
<div class="">args = [self._escape_for_shell(arg) for arg in args]</div></div></blockquote></div><br></div><div class="gmail_extra">Considering security issues connected to shell=True* and uncertainty of escaping for MS Windows**, wouldn't be better to avoid shell=True and try to use the right interpreter? This can work at least for the most common (and probably only important) case which is Python.<br>

<br></div><div class="gmail_extra">Vaclav<br></div><div class="gmail_extra"><br><br></div><div class="gmail_extra">* Now thinking about various WPS servers using GRASS, GIS systems using GRASS, and potential WebGRASS.<br>

</div><div class="gmail_extra">** It seems that it will be hard to guess how to do it.<br></div></div>