2020中国创新软件企业TOP100
全世界各行各业联合起来,internet一定要实现!
老文章正文

CGI编程的安全性 -- 文件名

2004-02-12 eNet&Ciweek

   每当用户输入一个文件名,有可能就试图打开输入危险字符串! 例如,用户输入的文件名中包含路径字符,如目录斜杠和双点!尽管你期望的是输入公用的文件名:例如report.txt.但结果却可能是/report.txt ../../report.txt ,系统中所有文件就有可能泄露出去,后果是可想而知的.

  如果用户输入一个已有文件名或对系统的运作有很重要的文件件名!比如输入的文件名是/etc/passwd,那用户就可以对该文件任意修改.可能第二天登录网站时进行更新的时候,你就发现密码被别人修改了,那时你只有写信给系统管理员请求帮助了. 所以在编写CGI脚本时要保证所有字符都是合法的.   

  下面这段代码能把不合法的字符过滤掉.   

  if(($file-name=~/[^a-zA-Z-.]/)  ($file-name=~/^./))

  { #文件包含有不合法字符. }   

  最好将上面代码做为一个子程序,这样就可以重复地调用它这样也方便于修改. 对于不允许输入HTML下面有两个方案.   

  1、有种简单的方法就是不允许小于号(<)和大于(>)因为所有HTML语法必须包含在这两个字符间,如果碰到它们就返回一个错误是一种防止HTML被提交的简单的方法. 下面一行Perl代码快速地清除了这两个字符:  

  $user-input=~s/<>//g;   

  2、复杂一点的方法就是将这两个字符转换成它们的HTML换码(特殊的代码),用于表示每个字符而不使用该字符本身. 下面的代码通过全部用 lt;替换了小于符号,用 gt;替换了大于符号,从而完成了转换:   

  $user-input=~s/

  $user-input=~s/>/>/g;

相关频道: eNews 老文章

您对本文或本站有任何意见,请在下方提交,谢谢!

投稿信箱:tougao@enet16.com
广告