我有以下CGI脚本:
#!/usr/bin/perl -T
use strict;
use warnings;
use CGI::Carp qw(fatalsToBrowser);
use CGI qw/:standard/;
my $query = CGI->new();
my $searchterm = param('name');
my $file = "justafile.txt";
# Begin searching terms and ignoring case
my @entries = `grep -i \"$searchterm\" $file`; # Line10
chomp @entries;
# Do something
当我执行命令时,它给了我这个
Insecure dependency in `` while running with -T switch at /foo/cgi-bin/mycode.cgi line 10.
第10行如何修复?
解决方法
污点的全部意义在于确保不能将未经检查的输入提供给潜在的不安全功能.
在这种情况下,$searchterm变量可能包含可能允许攻击者在您的系统上执行任意程序的意外输入.
因此,您需要:
>通过确保变量与预定的正则表达式匹配来解开变量(请参阅@ flesk的答案),此时Perl假定您知道自己在做什么,或者
>不要使用反引号(根据@eugene y的回答).
如果你正在使用反引号,你还应该指定grep命令的完整路径,这样你就不依赖于$PATH.