CGI编程的安全性 -- 文件名

王朝other·作者佚名  2008-06-01
宽屏版  字体: |||超大  

文件名是提交给CGI脚本的一种数据,但假如不小心的话,却能导致许多麻烦.想要打开一个用户提供的名字的文件时,都必须严格检查这个文件名以免招至系统重要文件泄露.用户输入一个文件名,有可能就试图打开输入危险字符串!例如,用户输入的文件名中包含路径字符,如目录斜杠和双点!尽管你期望的是输入公用的文件名:例如report.txt.但结果却可能是/report.txt或../../report.txt,系统中所有文件就有可能泄露出去,后果是可想而知的.

假如用户输入一个已有文件名或对系统的运作有很重要的文件件名!比如输入的文件名是/etc/passwd,那用户就可以对该文件任意修改.可能第二天登录网站时进行更新的时候,你就发现密码被别人修改了,那时你只有写信给系统治理员请求帮助了.所以在编写CGI脚本时要保证所有字符都是合法的.

下面这段代码能把不合法的字符过滤掉.

if(($file_name=~/[^a-zA-Z_\.]/)||($file_name=~/^\./))

{#文件包含有不合法字符. }

最好将上面代码做为一个子程序,这样就可以重复地调用它这样也方便于修改.对于不答应输入Html下面有两个方案.

1、有种简单的方法就是不答应小于号(<)和大于(>)因为所有HTML语法必须包含在这两个字符间,假如碰到它们就返回一个错误是一种防止HTML被提交的简单的方法.下面一行Perl代码快速地清除了这两个字符:

$user_input=~s/<>//g;

2、复杂一点的方法就是将这两个字符转换成它们的HTML换码(非凡的代码),用于表示每个字符而不使用该字符本身.下面的代码通过全部用&lt;替换了小于符号,用&gt;替换了大于符号,从而完成了转换:

$user_input=~s/</&lt;/g;

$user_input=~s/>/&gt;/g;

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
© 2005- 王朝网络 版权所有