| 本月文章推荐 |
PerlCGI程式写作常问问题集(4)安全发表日期:2006-3-5
|
|
5.0-安全 -------------------------------------------------------------------------------- Q5.1:以Perl写成的CGI程式是不是不如以shell或C写的来得安全? 这个问题的答案是:CGI程式先天上就不安全,不管它是用那个语言写成的*。 【译者】WWW及 CGI操作安全FAQ中问题第31对此有深入的探讨。 -------------------------------------------------------------------------------- Q5.2:我该特别留意哪些安全事项? 绝对不要对shell暴露任何form资料。底下这几项通通都是安全漏洞: open(COMMAND,"/usr/ucb/finger$form_user"); system("/usr/ucb/finger$form_user"); @data=`usr/ucb/finger$form_user`; 话虽如此,在上面的第二种写法中,系统安全可藉着改变参数传送的方式而得以改善。也就是将参数由字串方式传送(shell会先解译),改为序列方式传送。 system("/usr/ucb/finger",$form_user); 您同时应该阅读: 由LincolnStein所着,一份很完整的WWW及CGI操作安全FAQ PaulPhillips所着,CGI安全FAQ -------------------------------------------------------------------------------- Q5.3:为什麽大家都说 http://bigidiot.abuse-me.com/perl.exe?foo.pl这样很危险?会有多糟? 极度危险!想想看如果我这麽做会发生什麽事: http://bigidiot.abuse-me.com/cgi-bin/perl.exe?-e 'format: c' 现在您同意了吧?避免这个恶梦发生的方法: 将perl.exe执行档由``cgi-bin''移到server根目录以外的目录里去。 在``cgi-bin''里用批次档(batch)script来叫出您的CGIscript。 以下是一例。假设您的CGIscript叫做``sample.pl''而您的批次档叫``simple.bat'': @echooff c:\dos_perl\perl.exec:\netscape\ns-home\docs\cgi-bin\simple.pl 现在,您可以做: -------------------------------------------------------------------------------- Q5.4:要如何在程式中安全地使用逆向撇号(backticks,"`",位於键盘左上角)?这麽做: @ans=`grep'$user_field'some.file`; 是不是真的不安全? 是的!这非常危险!试想,如果$user_field含有这样的内容会有什麽後果: ;rm-fr/; 要达到相同的效果,一个比较安全的做法是*: if(openGREP,"-|"){ @ans= }else{ exec("/usr/local/bin/grep",$user_field,"some.file") ||die"Errorexec'ingcommand","\n"; } closeGREP; 【译者】如果读者对以上openGREP,"-|"部份的句法有疑问,可以 参阅perlipcmanpages中SafePipeOpens一节的说明。 -------------------------------------------------------------------------------- Q5.5:/$user_variable/这个句法是不是Perl5中的一个安全漏洞? 不!这不是个安全漏洞。但是如果您用eval指令在执行期(runtime)去评估这个叙述,那麽,它会变成一个安全死角。例如这种做法可能很危险: foreach$regexp(@all_regexps){ eval"foreach(\@data){push(\@matches,\$_)ifm|$regexp|o;}"; } -------------------------------------------------------------------------------- 版权事宜 -------------------------------------------------------------------------------- Thisdocument,andallitsparts,areCopyright(c)1996,Shishir GundavaramandTomChristiansen.Allrightsreservered. Permissontodistributethiscollection,inpartorfull,viaelectronic means(emailed,postedorarchived)orprintedcopyaregrantedproviding thatnochargesareinvolved,reasonableattemptismadetousethemost currentversion,andallcreditsandcopyrightnoticesareretained. Requestsforotherdistributionrights,includingincorporationin commercialproducts,suchasbooks,magazinearticles,orCD-ROMsshouldbe madetoeitheroftheauthors. 本文件着作权属於ShishirGundavaram及TomChristiansen所有,Copyright(C)1996。在不涉及收费营利、尽可能地使用最新版,及所有着作权告示保持完整的情况下,作者允许任何人透过电子形式(电子邮件、讨论群布告,或存放),或印表方式对本文件作完整或部份发行。如欲将本文件作其他方式发行,包括将本文件附加於商业产品,诸如书籍、杂志文章,或光碟等之中,必须事先对二位作者其中一人提出请求,以徵得许可授权。 本中译版及译者补充部份着作权属萧百龄及两只老虎工作室所有,Copyright(C)1997。本中译版遵守并使用与上述原文版相同的使用条款发行。 |
| 上一篇:PerlCGI程式写作常问问题集(3)CGI与WWWServer
人气:3787 下一篇:Perl简介(适合对C语言有点认识的读者) 人气:3808 |
| 浏览全部Perl的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
