PerlCGI程式写作常问问题集(4)安全
5.0-安全
--------------------------------------------------------------------------------
Q5.1:以Perl写成的CGI程式是不是不如以shell或C写的来得安全?
这个问题的答案是:CGI程式先天上就不安全,不管它是用那个语言写成的*。
【译者】WWW及
CGI操作安全FAQ中问题第31对此有深入的探讨。
--------------------------------------------------------------------------------
Q5.2:我该特别留意哪些安全事项?
绝对不要对shell暴露任何form资料。底下这几项通通都是安全漏洞:
open(COMMAND,"/usr/ucb/finger$form_user");
system("/usr/ucb/finger$form_user");
@data=`usr/ucb/finger$form_user`;
话虽如此,在上面的第二种写法中,系统安全可藉着改变参数传送的方式而得以改善。也就是将参数由字串方式传送(shell会先解译),改为序列方式传送。
system("/usr/ucb/finger",$form_user);
您同时应该阅读:
由LincolnStein所着,一份很完整的WWW及CGI操作安全FAQ
PaulPhillips所着,CGI安全FAQ
--------------------------------------------------------------------------------
Q5.3:为什麽大家都说
http://bigidiot.abuse-me.com/perl.exe?foo.pl这样很危险?会有多糟?
极度危险!想想看如果我这麽做会发生什麽事:
http://bigidiot.abuse-me.com/cgi-bin/perl.exe?-e 'format: c'
现在您同意了吧?避免这个恶梦发生的方法:
将perl.exe执行档由``cgi-bin''移到server根目录以外的目录里去。
在``cgi-bin''里用批次档(batch)script来叫出您的CGIscript。
以下是一例。假设您的CGIscript叫做``sample.pl''而您的批次档叫``simple.bat'':
@echooff
c:/dos_perl/perl.exec:/netscape/ns-home/docs/cgi-bin/simple.pl
现在,您可以做:
--------------------------------------------------------------------------------
Q5.4:要如何在程式中安全地使用逆向撇号(backticks,"`",位於键盘左上角)?这麽做:
@ans=`grep'$user_field'some.file`;
是不是真的不安全?
是的!这非常危险!试想,如果$user_field含有这样的内容会有什麽後果:
;rm-fr/;
要达到相同的效果,一个比较安全的做法是*:
if(openGREP,"-|"){
@ans=
}else{
exec("/usr/local/bin/grep",$user_field,"some.file")
||die"Errorexec'ingcommand","/n";
}
closeGREP;
【译者】如果读者对以上openGREP,"-|"部份的句法有疑问,可以
参阅perlipcmanpages中SafePipeOpens一节的说明。
--------------------------------------------------------------------------------
Q5.5:/$user_variable/这个句法是不是Perl5中的一个安全漏洞?
不!这不是个安全漏洞。但是如果您用eval指令在执行期(runtime)去评估这个叙述,那麽,它会变成一个安全死角。例如这种做法可能很危险:
foreach$regexp(@all_regexps){
eval"foreach(/@data){push(/@matches,/$_)ifm|$regexp|o;}";
}
--------------------------------------------------------------------------------
版权事宜
--------------------------------------------------------------------------------
Thisdocument,andallitsparts,areCopyright(c)1996,Shishir
GundavaramandTomChristiansen.Allrightsreservered.
Permissontodistributethiscollection,inpartorfull,viaelectronic
means(emailed,postedorarchived)orprintedcopyaregrantedproviding
thatnochargesareinvolved,reasonableattemptismadetousethemost
currentversion,andallcreditsandcopyrightnoticesareretained.
Requestsforotherdistributionrights,includingincorporationin
commercialproducts,suchasbooks,magazinearticles,orCD-ROMsshouldbe
madetoeitheroftheauthors.
本文件着作权属於ShishirGundavaram及TomChristiansen所有,Copyright(C)1996。在不涉及收费营利、尽可能地使用最新版,及所有着作权告示保持完整的情况下,作者允许任何人透过电子形式(电子邮件、讨论群布告,或存放),或印表方式对本文件作完整或部份发行。如欲将本文件作其他方式发行,包括将本文件附加於商业产品,诸如书籍、杂志文章,或光碟等之中,必须事先对二位作者其中一人提出请求,以徵得许可授权。
本中译版及译者补充部份着作权属萧百龄及两只老虎工作室所有,Copyright(C)1997。本中译版遵守并使用与上述原文版相同的使用条款发行。
