Können Sie ein „Hier-Dokument“ als Quelle angeben?

Nehmen wir an, ich habe ein Bash-Skript, das als Konfigurationsdatei für ein anderes Bash-Skript fungiert:

config.sh:

verbose=yes
echo "Malicious code!"
name=test

Skript.sh:

source config.sh
echo "After sourcing: verbose='$verbose', name='$name'"

Das Problem ist, dass dies nicht sehr sicher ist, da alles, was in config.sh eingegeben wird, ausgeführt wird:

$ ./script.sh
Malicious code!
After sourcing: verbose='yes', name='test'

Um es sicherer zu machen, dachte ich, ich würde Zuweisungsoperationen herauslesen und nur diese ausführen. Ich würde das erreichen, indem ich sourceein „Here-Dokument“ übergebe:

Skript.sh:

source <<EOF
$(grep -P '^\s*\w+=' test.sh)
EOF
echo "After sourcing: verbose='$verbose', name='$name'"

(Ja, ich weiß, dass der reguläre Ausdruck nicht so stark ist; es handelt sich nur um einen Platzhalter.) Leider scheint die Quelle nicht gut mit den folgenden Dokumenten zu funktionieren:

./script.sh: line 1: source: filename argument required
source: usage: source filename [arguments]
After sourcing: verbose='', name=''

Natürlich könnte ich alles Mögliche tun, um Konfigurationsdaten aus einer Datei abzurufen, und das ist wahrscheinlich sowieso sicherer.

Aber ich habe immer noch diesen Juckreiz; ich möchte herausfinden, ob das, was ich versucht habe, funktioniert. Irgendwelche Vorschläge?