严格-T 模式错误中变量的 Perl 设置值

Perl setting value of a variable in strict -T mode errors

我有一个脚本 运行 严格使用 -T 参数或 'taint' 模式。如果我尝试设置一个已经定义的变量的值,它就会出错。我没有做太多,我只是想修改它,不知道它为什么会坏。这是它的外观要点:

#!/usr/bin/perl -T

use 5.010;
use CGI;
use CGI::Carp qw/fatalsToBrowser/;

use strict;
use warnings;
use localtime;


my @months = qw(january february march april may june july august september october november december);

my $q = CGI->new();
say $q->header(), $q->start_html(-title=>'Calendar');

for my $param ($q->param()) {
    my $safe_param = $q->escapeHTML($param);

    for my $value ($q->param($param)) {
                my $params = $q->escapeHTML($value);
                {
                        local $ENV{"PATH"} = "/bin:/usr/local/bin:/usr/bin";
                        local $ENV{"BASH_ENV"}="";
                        my $date = "";

                        my $white = /^\s*$/;
                        my $singleyear = /^\d{2,4}$/;
                        my $nummonth = /^\d{1,2}\s\d{1,4}$/;
                        # If $params is empty or all white space, set $date to a single space
                        if ($params =~ $white) {
                                my($day, $month, $year)=(localtime)[3,4,5];
                                my $monthname = $months[$month];
                                $date = "$monthname $year"
                        }
                        # If $params is only a single 1-4 digit year, set $date to year
                        if ($params =~ $singleyear) {
                                $date = $params;
                        }
                        # If $params is a 1-2 digit month and a 1-4 digit year set $date to month and year
                        if ($params =~ $nummonth) {
                                my $monthnumber = $params =~ /^\d{1,2}/;
                                my $monthstring = $months[$monthnumber];
                                my $yearnumber = $params =~ /(\d{1,4})$/;
                                $date = "$monthstring $yearnumber";
                        }

                        if  ($date eq "") {
                                say "<h1>Invalid Parameters: $params</h1>";
                        } else {
                                say "<h1>Parameters: $params</h1>";
                        }
                        my $cmds = "cal -h " . $date;
                        my @lines = `$cmds`;
                        say ("<pre>");
                        for my $line (@lines) {
                                print ("$line");
                        }
                        say ("</pre>");
                }
    }
    say '</p>';
}

say $q->end_html();

在任何时候我设置 $date 的值都会抛出错误:

Insecure dependency in `` while running with -T switch

如果我设置 my $date 它不会抛出任何错误,但实际上不会更新日期的值。

此外,我很确定我的所有正则表达式都是错误的,因为我做了一些测试,并且所有这些情况出于某种原因评估为真,无论用户输入如何。但这并不是我现在面临的问题。

$params

的用户输入示例
02 1999

$date = $params;

这样的代码将被污染的 $params 值分配给 $date 而没有清除它。

而是:将您想要的确切数据与正则表达式匹配,并使用正则表达式捕获来提取未受污染的值。例如:

if ($params =~ /^(\d{2,4})$/) {
    $date = ;
}

其他情况依此类推

请注意,分配正则表达式 $foo = /bar/ 并不是分配正则表达式对象,而是分配正则表达式与 $_ 变量匹配的结果!如果需要创建正则表达式对象,请使用 qr/.../ 运算符。但是,在您的程序中似乎没有必要使用正则表达式对象——只需记下每个条件下的正则表达式以避免出现问题。