您的位置:首页精文荟萃软件资讯 → CGI编程的安全性 -- 文件名

CGI编程的安全性 -- 文件名

时间:2004/10/7 19:13:00来源:本站整理作者:蓝点我要评论(0)


            
             
              
             
            

               
               

            



            文件名是提交给CGI脚本的一种数据,但如果不小心的话,却能导致许多麻烦.想要打开一个用户提供的名字的文件时,都必须严格检查这个文件名以免招至系统重要文件泄露.用户输入一个文件名,有可能就试图打开输入危险字符串!例如,用户输入的文件名中包含路径字符,如目录斜杠和双点!尽管你期望的是输入公用的文件名:例如report.txt.但结果却可能是/report.txt或../../report.txt,系统中所有文件就有可能泄露出去,后果是可想而知的.

如果用户输入一个已有文件名或对系统的运作有很重要的文件件名!比如输入的文件名是/etc/passwd,那用户就可以对该文件任意修改.可能第二天登录网站时进行更新的时候,你就发现密码被别人修改了,那时你只有写信给系统管理员请求帮助了.所以在编写CGI脚本时要保证所有字符都是合法的.
下面这段代码能把不合法的字符过滤掉.


if(($file_name=~/[^a-zA-Z_\.]/)||($file_name=~/^\./))
{#文件包含有不合法字符. }


最好将上面代码做为一个子程序,这样就可以重复地调用它这样也方便于修改.对于不允许输入HTML下面有两个方案.


1、有种简单的方法就是不允许小于号(<)和大于(>)因为所有HTML语法必须包含在这两个字符间,如果碰到它们就返回一个错误是一种防止HTML被提交的简单的方法.下面一行Perl代码快速地清除了这两个字符:


$user_input=~s/<>//g;


2、复杂一点的方法就是将这两个字符转换成它们的HTML换码(特殊的代码),用于表示每个字符而不使用该字符本身.下面的代码通过全部用&lt;替换了小于符号,用&gt;替换了大于符号,从而完成了转换:


$user_input=~s/$user_input=~s/>/&gt;/g;


相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3

最新文章 微信3.6.0测试版更新了微信支付漏洞会造成哪 360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗

人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本