Thread Ist Module::Load unsicher (37 answers)
Opened by Max_Perlbeginner at 2017-09-06 14:28

Linuxer
 2017-09-07 09:46
#187366 #187366
User since
2006-01-27
3890 Artikel
HausmeisterIn

user image
Das Modul unterstützt eben das Laden anhand von Modul-Namen oder von Dateien. Dabei können Dateipfade verwendet werden, die auch ganz regulär mit ".." Ebenen nach oben wechseln können. Das ist alles ganz normal.

Nun kann man bei Pfaden eben mit ".." eine Ebene im Pfad "zurück" gehen und damit u.U. Dateien einbinden, die dafür gar nicht vorgesehen waren.

Wenn Du das vor dem Laden mit Module::Load abfängst, indem Du beispielsweise mit Deinem Regex nur Modulnamen und keine Pfade mit ".." erlaubst, spricht nichts dagegen.

Der Bug-Report sagt doch nur, dass es Pfade unterstützt (und das ist gewollt) und dass ein entsprechender Hinweis in die Dokumentation aufgenommen werden sollte.

Eine Lösung mit eval "..." finde ich da noch schlechter und noch unsicherer, wenn da keine ausreichende Prüfung vorab stattfindet. Prüfen musst Du auf jeden Fall!
Last edited: 2017-09-07 09:47:46 +0200 (CEST)
meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!

View full thread Ist Module::Load unsicher