Ключевые слова:security, cgi, perl, (найти похожие документы)
Date: Tue, 30 Apr 2002 08:53:07 +0000 (UTC)
From: Alex Bachin <[email protected]>
Newsgroups: fido7.ru.cgi.perl
Subject: О правильном вырезании SSI директив из данных пользователей.
Почему для вырезания вероятных SSI вставок в данных из web-форм нельзя
пользоваться конструкцией вида (пример взят из Matt Wright wwwboard):
$value =~ s/<!--(.|\n)*-->//g;
Потому что написав в форме текст
<<!-- -->!--#exec cmd="ls /">
получим после вырезания <!--#exec cmd="ls /">