perl – 如何在CGI.pm中解开系统调用
发布时间:2020-12-15 23:35:29 所属栏目:大数据 来源:网络整理
导读:我有以下CGI脚本: #!/usr/bin/perl -Tuse strict;use warnings;use CGI::Carp qw(fatalsToBrowser);use CGI qw/:standard/;my $query = CGI-new();my $searchterm = param('name');my $file = "justafile.txt";# Begin searching terms and ignoring casemy
|
我有以下CGI脚本:
#!/usr/bin/perl -T
use strict;
use warnings;
use CGI::Carp qw(fatalsToBrowser);
use CGI qw/:standard/;
my $query = CGI->new();
my $searchterm = param('name');
my $file = "justafile.txt";
# Begin searching terms and ignoring case
my @entries = `grep -i "$searchterm" $file`; # Line10
chomp @entries;
# Do something
当我执行命令时,它给了我这个 Insecure dependency in `` while running with -T switch at /foo/cgi-bin/mycode.cgi line 10. 第10行如何修复? 解决方法
污点的全部意义在于确保不能将未经检查的输入提供给潜在的不安全功能.
在这种情况下,$searchterm变量可能包含可能允许攻击者在您的系统上执行任意程序的意外输入. 因此,您需要: >通过确保变量与预定的正则表达式匹配来解开变量(请参阅@ flesk的答案),此时Perl假定您知道自己在做什么,或者 如果你正在使用反引号,你还应该指定grep命令的完整路径,这样你就不依赖于$PATH. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |