我有一个上传的cgi脚本,如下所示
#!/usr/bin/perl
use CGI;
use CGI::Carp qw(fatalsToBrowser);
my $cgi = new CGI;
my $file = $cgi->param('file');
$file=~m/^.*(\\|\/)(.*)/; # strip the remote path and keep the filename
my $name = $2;
open(LOCAL, ">/home/Desktop/$name") or die $!;
while(<$file>) {
$data .= $_;
}
print $cgi->header();
print "$file has been successfully uploaded... thank you.\n";
print $data;
HTML文件如下
<html>
<head>
<title>Test</title>
</head>
<body>
<form enctype="multipart/form-data" action="upload.cgi" method="post">
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
Send this file: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form>
</body>
</html>
我现在得到一个奇怪的错误..
软件错误:
是htdocs / upload.cgi第9行的目录。
如需帮助,请发送邮件至本网站的网站管理员,提供此错误消息以及错误的时间和日期。
答案 0 :(得分:1)
可能是打开
中指定的路径的情况open(LOCAL, ">/home/Desktop/$name") or die $!;
指向一个目录。这可能是因为$name为空(因此/home/Desktop/ 是目录)或目标名称是桌面下的目录。
我不得不考虑更多,并试图变得邪恶,但我相当确定有一些方法可以指定路径之外的路径,以便允许有恶意的人在某些地方上传文件你不指望它们是。