严格-T 模式错误中变量的 Perl 设置值
Perl setting value of a variable in strict -T mode errors
我有一个脚本 运行 严格使用 -T 参数或 'taint' 模式。如果我尝试设置一个已经定义的变量的值,它就会出错。我没有做太多,我只是想修改它,不知道它为什么会坏。这是它的外观要点:
#!/usr/bin/perl -T
use 5.010;
use CGI;
use CGI::Carp qw/fatalsToBrowser/;
use strict;
use warnings;
use localtime;
my @months = qw(january february march april may june july august september october november december);
my $q = CGI->new();
say $q->header(), $q->start_html(-title=>'Calendar');
for my $param ($q->param()) {
my $safe_param = $q->escapeHTML($param);
for my $value ($q->param($param)) {
my $params = $q->escapeHTML($value);
{
local $ENV{"PATH"} = "/bin:/usr/local/bin:/usr/bin";
local $ENV{"BASH_ENV"}="";
my $date = "";
my $white = /^\s*$/;
my $singleyear = /^\d{2,4}$/;
my $nummonth = /^\d{1,2}\s\d{1,4}$/;
# If $params is empty or all white space, set $date to a single space
if ($params =~ $white) {
my($day, $month, $year)=(localtime)[3,4,5];
my $monthname = $months[$month];
$date = "$monthname $year"
}
# If $params is only a single 1-4 digit year, set $date to year
if ($params =~ $singleyear) {
$date = $params;
}
# If $params is a 1-2 digit month and a 1-4 digit year set $date to month and year
if ($params =~ $nummonth) {
my $monthnumber = $params =~ /^\d{1,2}/;
my $monthstring = $months[$monthnumber];
my $yearnumber = $params =~ /(\d{1,4})$/;
$date = "$monthstring $yearnumber";
}
if ($date eq "") {
say "<h1>Invalid Parameters: $params</h1>";
} else {
say "<h1>Parameters: $params</h1>";
}
my $cmds = "cal -h " . $date;
my @lines = `$cmds`;
say ("<pre>");
for my $line (@lines) {
print ("$line");
}
say ("</pre>");
}
}
say '</p>';
}
say $q->end_html();
在任何时候我设置 $date
的值都会抛出错误:
Insecure dependency in `` while running with -T switch
如果我设置 my $date
它不会抛出任何错误,但实际上不会更新日期的值。
此外,我很确定我的所有正则表达式都是错误的,因为我做了一些测试,并且所有这些情况出于某种原因评估为真,无论用户输入如何。但这并不是我现在面临的问题。
$params
的用户输入示例
02 1999
$date = $params;
这样的代码将被污染的 $params
值分配给 $date
而没有清除它。
而是:将您想要的确切数据与正则表达式匹配,并使用正则表达式捕获来提取未受污染的值。例如:
if ($params =~ /^(\d{2,4})$/) {
$date = ;
}
其他情况依此类推
请注意,分配正则表达式 $foo = /bar/
并不是分配正则表达式对象,而是分配正则表达式与 $_
变量匹配的结果!如果需要创建正则表达式对象,请使用 qr/.../
运算符。但是,在您的程序中似乎没有必要使用正则表达式对象——只需记下每个条件下的正则表达式以避免出现问题。
我有一个脚本 运行 严格使用 -T 参数或 'taint' 模式。如果我尝试设置一个已经定义的变量的值,它就会出错。我没有做太多,我只是想修改它,不知道它为什么会坏。这是它的外观要点:
#!/usr/bin/perl -T
use 5.010;
use CGI;
use CGI::Carp qw/fatalsToBrowser/;
use strict;
use warnings;
use localtime;
my @months = qw(january february march april may june july august september october november december);
my $q = CGI->new();
say $q->header(), $q->start_html(-title=>'Calendar');
for my $param ($q->param()) {
my $safe_param = $q->escapeHTML($param);
for my $value ($q->param($param)) {
my $params = $q->escapeHTML($value);
{
local $ENV{"PATH"} = "/bin:/usr/local/bin:/usr/bin";
local $ENV{"BASH_ENV"}="";
my $date = "";
my $white = /^\s*$/;
my $singleyear = /^\d{2,4}$/;
my $nummonth = /^\d{1,2}\s\d{1,4}$/;
# If $params is empty or all white space, set $date to a single space
if ($params =~ $white) {
my($day, $month, $year)=(localtime)[3,4,5];
my $monthname = $months[$month];
$date = "$monthname $year"
}
# If $params is only a single 1-4 digit year, set $date to year
if ($params =~ $singleyear) {
$date = $params;
}
# If $params is a 1-2 digit month and a 1-4 digit year set $date to month and year
if ($params =~ $nummonth) {
my $monthnumber = $params =~ /^\d{1,2}/;
my $monthstring = $months[$monthnumber];
my $yearnumber = $params =~ /(\d{1,4})$/;
$date = "$monthstring $yearnumber";
}
if ($date eq "") {
say "<h1>Invalid Parameters: $params</h1>";
} else {
say "<h1>Parameters: $params</h1>";
}
my $cmds = "cal -h " . $date;
my @lines = `$cmds`;
say ("<pre>");
for my $line (@lines) {
print ("$line");
}
say ("</pre>");
}
}
say '</p>';
}
say $q->end_html();
在任何时候我设置 $date
的值都会抛出错误:
Insecure dependency in `` while running with -T switch
如果我设置 my $date
它不会抛出任何错误,但实际上不会更新日期的值。
此外,我很确定我的所有正则表达式都是错误的,因为我做了一些测试,并且所有这些情况出于某种原因评估为真,无论用户输入如何。但这并不是我现在面临的问题。
$params
02 1999
$date = $params;
这样的代码将被污染的 $params
值分配给 $date
而没有清除它。
而是:将您想要的确切数据与正则表达式匹配,并使用正则表达式捕获来提取未受污染的值。例如:
if ($params =~ /^(\d{2,4})$/) {
$date = ;
}
其他情况依此类推
请注意,分配正则表达式 $foo = /bar/
并不是分配正则表达式对象,而是分配正则表达式与 $_
变量匹配的结果!如果需要创建正则表达式对象,请使用 qr/.../
运算符。但是,在您的程序中似乎没有必要使用正则表达式对象——只需记下每个条件下的正则表达式以避免出现问题。