[Vienna-pm] eigenartige Ueberpruefung im taint mode
Thomas Klausner
domm at zsi.at
Thu Apr 17 04:08:49 CDT 2003
Hi!
On Mit, Apr 16, 2003 at 06:01:23 +0200, Baier Oliver INT SD wrote:
> mir ist gerade aufgefallen, dass das taint checking, wenn nicht
> fehlerhaft, zumindest recht eigenartig ist.
>
> my $daylog = "/log/spkat/" . $hosts{$ARGV[0]} . "/status_log."
> . `/bin/date '+%Y%m%d'`;
>
> scheitert mit "Insecure dependency in `` while running
> with -T switch at /home/spkat/bin/getstatus.pl".
Ich schaetze das liegt daran, das das Ergbnis von `/bin/date '+%Y%m%d'` als
tainted markiert wird, und du's dann direkt an den String dranhaengst.
> my $daylog = "/log/spkat/" . $hosts{$ARGV[0]} . "/status_log.";
> $daylog .= `/bin/date '+%Y%m%d'`;
>
> Wo liegt denn da der Unterschied?
weiss ich ehrlichgesagt auch nicht genau.
Aber warum verwendest du nicht irgendeine Perl-Datumsfunktion (oder ein
Modul), um das Datum zu bekommen?
Ist wahrscheinlich schneller und auf jeden Fall sicherer.
--
#!/usr/bin/perl http://domm.zsi.at
for(ref bless{},just'another'perl'hacker){s-:+-$"-g&&print$_.$/}
More information about the Vienna-pm
mailing list