The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Раздел полезных советов: Кратко о безопасности в CGI скрипта..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"Раздел полезных советов: Кратко о безопасности в CGI скрипта..."
Сообщение от auto_tips on 12-Авг-04, 00:37 
- Главное правило - всегда явно проверять все переменные полученные из внешних источников
    (cgi-параметры, cookie, переменные окружения, имя файла и путь (при листинге директории по readdir));

- Вырезать спецсимволы в переменных используемых в сис. функциях (open(), system(), ``) и обращениях к sql.
    вырезание: s/[^\w\d_\-.]//g или tr/;<>*|?`&$!#{}[]:'\/\n\r\0// для open(), system(), ``.
    не забывать про \0 (передают , который воспринимается как конец стоки)
    Пример: $var="../../etc/passwd|\0"; open(F, "/home/test/$var.txt")

- при открытии файла на чтение в open() всегда указывать "<$file";

- Осторожность при использовании переменной внутри eval() и regex (/\Q$var\E/ иначе можно подставить ?{код}).

- Нельзя проверять числовые параметры через "if ($var > 0)", так как может пройти $var="123;somecode";


URL:
Обсуждается: http://www.opennet.me/tips/info/621.shtml

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Кратко о безопасности в CGI скриптах на Perl"
Сообщение от Vict0r email on 12-Авг-04, 00:37 
"Нельзя проверять числовые параметры через "if ($var > 0)""
А как их тогда проверять?
Cообщить модератору | Наверх | ^

2. "Кратко о безопасности в CGI скриптах на Perl"
Сообщение от leonid sopov email on 21-Сен-05, 12:34 
после того как получили или в момент получения
1) $var=int($var);
2) $var=~s/\D//g; /лучше все же 1 вариант/
Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру