使用perl使用多个命令进行安全系统调用

时间:2013-04-23 17:27:33

标签: perl input system sanitization

我有一个Perl脚本,可以从Web表单中读取一些信息。为了进行适当的卫生,我想使用here描述的system语法。

他们建议你应该用以下形式system ("cat", "/usr/stats/$username");形成系统命令,这样username变量才会被解释为cat的参数。

如果我的命令格式为system("export REPLYTO=\"$from\"; echo \"$body\" | mail -s \"$subject\"");且有多个系统命令,我该如何正确清理系统调用?

1 个答案:

答案 0 :(得分:5)

在开始之前,请注意您可以通过设置export在Perl中执行$ENV{REPLY_TO}


选项1。

您可以使用String::ShellQuoteshell_quote

use autodie qw( :all );
my $cmd = shell_quote('echo', $body) .
    '|' . shell_quote('mail', '-s', $subject);
local $ENV{REPLY_TO} = $from;
system($cmd);

选项2。

通过env var。

传递所有内容
use autodie qw( :all );
local $ENV{REPLY_TO} = $from;
local $ENV{SUBJECT}  = $subject;
local $ENV{BODY}     = $body;
system('echo "$BODY" | mail -s "$SUBJECT"');

选项3。

摆脱echo

use autodie qw( :all );
local $ENV{REPLY_TO} = $from;
open(my $pipe, '|-', 'mail', '-s', $subject);
print($pipe $body);
close($pipe);
die "Child died from signal ".($? & 0x7F)."\n" if $? & 0x7F;
die "Child exited from error ".($? >> 8)."\n" if $? >> 8;