[ 永远的UNIX::UNIX技术资料的宝库 ]
首页 > 编程技术 > Perl > 正文
Perl CGI 程式写作常问问题集(4)安全
http://www.fanqiang.com (2001-05-15 07:15:00)

  5.0 - 安全

--------------------------------------------------------------------------------

Q5.1: 以 Perl 写成的 CGI 程式是不是不如以 shell 或 C 写的来得安全?
这个问题的答案是: CGI 程式先天上就不安全,不管它是用那个语言写成的*。 

【译者】WWW 及
CGI 操作安全 FAQ 中问题第 31 对此有深入的探讨。



--------------------------------------------------------------------------------

Q5.2:我该特别留意哪些安全事项?
绝对不要对 shell 暴露任何 form 资料。底下这几项通通都是安全漏洞: 

open(COMMAND, "/usr/ucb/finger $form_user"); 
system("/usr/ucb/finger $form_user"); 
@data = `usr/ucb/finger $form_user`; 
话虽如此,在上面的第二种写法中,系统安全可藉着改变参数传送的方式而得以改 善。也就是将参数由字串方式传送 (shell 会先解译),改为序列方式传送。 

system("/usr/ucb/finger", $form_user);
您同时应该阅读: 

由 Lincoln Stein 所着,一份很完整的 WWW 及 CGI 操作安全 FAQ 
Paul Phillips 所着,CGI 安全 FAQ 


--------------------------------------------------------------------------------

Q5.3:为什麽大家都说
http://bigidiot.abuse-me.com/perl.exe?foo.pl 这样很危险?会有多糟?
极度危险! 想想看如果我这麽做会发生什麽事: 

http://bigidiot.abuse-me.com/cgi-bin/perl.exe?-e+'format:%20c'


现在您同意了吧?避免这个恶梦发生的方法: 

将 perl.exe 执行档由 ``cgi-bin'' 移到 server 根目录以外的目录里去。 
在 ``cgi-bin'' 里用批次档 (batch) script 来叫出您的 CGI script。 
以下是一例。假设您的 CGI script 叫做 ``sample.pl'' 而您的批次档叫 ``simple.bat'': 

@echo off
c:\dos_perl\perl.exe c:\netscape\ns-home\docs\cgi-bin\simple.pl

现在,您可以做: 

Click Here


--------------------------------------------------------------------------------

Q5.4:要如何在程式中安全地使用逆向撇号 (backticks,"`",位於键盘左上角)?这麽做: 
@ans = `grep'$user_field' some.file`;
是不是真的不安全?
是的! 这非常危险!试想,如果 $user_field 含有这样的内容会有什麽後 果: 

; rm -fr / ;

要达到相同的效果,一个比较安全的做法是*: 

if (open GREP, "-|") {
    @ans = ;
} else {
    exec("/usr/local/bin/grep", $user_field, "some.file")
        || die "Error exec'ing command", "\n";
}

close GREP;

【译者】 如果读者对以上 open GREP, "-|"部份的句法有疑问,可以
参阅 perlipc manpages 中 Safe Pipe Opens一节的说明。



--------------------------------------------------------------------------------

Q5.5: /$user_variable/ 这个句法是不是 Perl 5 中的一个安全漏洞? 
不!这不是个安全漏洞。但是如果您用 eval 指令在执行期 (runtime) 去 评估这个叙述,那麽,它会变成一个安全死角。例如这种做法可能很危险: 

foreach $regexp (@all_regexps) {
    eval "foreach (\@data) { push(\@matches, \$_) if m|$regexp|o; }";
}


--------------------------------------------------------------------------------
版权事宜

--------------------------------------------------------------------------------

This document, and all its parts, are Copyright (c) 1996, Shishir
Gundavaram and Tom Christiansen.  All rights reservered.
Permisson to distribute this collection, in part or full, via electronic
means (emailed, posted or archived) or printed copy are granted providing
that no charges are involved, reasonable attempt is made to use the most
current version, and all credits and copyright notices are retained.
Requests for other distribution rights, including incorporation in
commercial products, such as books, magazine articles, or CD-ROMs should be
made to either of the authors.

本文件着作权属於 Shishir Gundavaram 及 Tom Christiansen 所有,Copyright (C) 1996。在不涉及收费营利、尽可能地使用最新版,及所有着作权告示保持完整 的情况下,作者允许任何人透过电子形式(电子邮件、讨论群布告,或存放),或 印表方式对本文件作完整或部份发行。如欲将本文件作其他方式发行,包括将本文 件附加於商业产品,诸如书籍、杂志文章,或光碟等之中,必须事先对二位作者其 中一人提出请求,以徵得许可授权。

本中译版及译者补充部份着作权属萧百龄及两只老虎工作室所有,Copyright (C) 1997。本中译版遵守并使用与上述原文版相同的使用条款发行。
(http://www.fanqiang.com)     进入【UNIX论坛
相关文章
Perl CGI 程式写作常问问题集(4)安全 (2001-05-15 07:15:00)
Perl CGI 程式写作常问问题集(4)程式设计疑难杂症 (2001-05-15 06:15:01)
Perl CGI 程式写作常问问题集(3)CGI 与 WWW Server (2001-05-15 05:15:00)
Perl CGI 程式写作常问问题集(2) Modules (模组) (2001-05-15 04:15:00)
Perl CGI 程式写作常问问题集(1)入门简介 (2001-05-15 03:15:01)
 

★  樊强制作 欢迎分享  ★