Opened by Gwendon at 2012-01-09 18:36
User since
2003-08-04
12208 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12208 Artikel
Admin1
wenn du den taint-mode mit -T aktiviert hast, werden alle eingaben, die von aussen kommen (über STDIN, umgebungsvariablen etc.) als "tainted", hier zu übersetzen mit "nicht vertrauenswürdig", angesehen. du musst sie untainten. lies dazu mal 
perlsec.
edit: bedenke dabei, dass der user, der die eingabe über STDIN macht, die volle kontrolle über den kompletten dateinamen hat, daher wäre es ggfs. ratsam, nur bestimmte zeichen zuzulassen, um speziell verzeichnistrenner und anderes herauszufiltern.
das ist besonders dann wichtig, wenn das skript mehr rechte hat als der user, der es aufruft.
Last edited: 2012-01-09 19:14:29 +0100 (CET)
perlsec.edit: bedenke dabei, dass der user, der die eingabe über STDIN macht, die volle kontrolle über den kompletten dateinamen hat, daher wäre es ggfs. ratsam, nur bestimmte zeichen zuzulassen, um speziell verzeichnistrenner und anderes herauszufiltern.
das ist besonders dann wichtig, wenn das skript mehr rechte hat als der user, der es aufruft.
Last edited: 2012-01-09 19:14:29 +0100 (CET)
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem