Perl" do",相对路径以"开头。"或" .."

时间:2018-04-12 04:25:22

标签: perl perl5 perldoc perl-core

我尝试使用Perl的do EXPR函数作为穷人的配置解析器,使用第二个.pl文件,它只返回一个列表作为配置信息。 (我认为这可能是do的理想用途,尤其是因为我可以在我的代码中编写" do or die"。这是一个例子:

main.pl

# Go read the config file
my %config = do './config.pl';

# do something with it
$web_object->login($config{username}, $config{password});

config.pl

# Configuration file for main script
(
  username => "username",
  password => "none_of_your_business",
  favorite_color => "0x0000FF",
);

阅读Perldoc for do提供了很多有关相对路径的有用建议 - 搜索@INC和修改%INC,特殊警告关于5.26不搜索"。"任何更多,等等。但它也有这些位:

  

#加载确切的指定文件(./和../ special-cased) ...

           

使用相对路径(除了./和../),就像...

然后它实际上从来没有为#34; ./"解释特殊情况路径处理而烦恼。或" ../" - 一个重要的遗漏!

所以我的问题是"当你do './file.pl';"时,真正会发生什么变化?例如......

  • 虽然从@INC中删除了CWD,但这种语法是否仍然适用于5.26?
  • 从谁的角度来看" ./"无论如何:Perl二进制文件,执行的Perl脚本,来自用户shell的CWD,还是别的什么?
  • 是否存在安全隐患?
  • 这比修改@INC和使用基本文件名更好还是更差?

感谢任何见解。

1 个答案:

答案 0 :(得分:5)

好的,所以 - 首先,我不确定你的config.pl是否是正确的方法 - 对于初学者来说它不是perl,因为它不能编译。无论哪种方式,尝试评估“解析配置”的东西通常不是一个很好的计划 - 它很容易出现令人不快的故障和安全漏洞,因此应该在需要时保留。

我会敦促你以不同的方式做到这一点:

将其写为模块

这样的事情:

package MyConfig;

# Configuration file for main script
our %config = (
   username       => "username",
   password       => "none_of_your_business",
   favorite_color => "0x0000FF",
);

然后你可以在你的主脚本中:

use MyConfig; #note - the file needs to be the same name, and in @INC

并将其视为:

print $MyConfig::config{username},"\n"; 

如果你不能将它放在现有的@INC中 - 可能有原因你不能,FindBin允许你使用相对于你的脚本位置的路径:

use FindBin; 
use lib "$FindBin::Bin"; 
use MyConfig;

将您的'config'写为已定义的可解析格式,而不是可执行代码。

YAML

对于配置文件,

YAML非常可靠,特别是:

use YAML::XS;

open ( my $config_file, '<', 'config.yml' ) or die $!; 
my $config = Load ( do { local $/; <$config_file> });

print $config -> {username};

您的配置文件如下所示:

username: "username"
password: "password_here"
favourite_color: "green"
air_speed_of_unladen_swallow: "african_or_european?"

(YAML也支持多维数据结构,数组等。但您似乎并不需要这些。)

JSON

JSON基于看起来大致相同,只是输入:

{
  "username": "username",
  "password": "password_here",
  "favourite_color": "green",
  "air_speed_of_unladen_swallow": "african_or_european?"
}

你用以下内容阅读:

use JSON;
open ( my $config_file, '<', 'config.json' ) or die $!; 
my $config = from_json ( do { local $/; <$config_file> });

使用相对路径进行配置:

您根本不必担心@INC。您可以根据相对路径使用...但更好的选择是不要这样做,而是使用FindBin代替 - 这可以让您指定“相对于我的脚本路径”而且更加健壮。

 use FindBin;
 open ( my $config_file, '<', "$FindBin::Bin/config.yml" ) or die $!; 

然后你会知道你正在读取与你的脚本在同一目录中的那个,无论它从哪里调用。

具体问题:

  

无论如何从“./”开始:Perl二进制文件,执行的Perl脚本,来自用户shell的CWD,还是别的什么?

当前工作目录向下传递进程。默认情况下是用户的shell,除非perl脚本执行chdir

  

是否存在安全隐患?

任何时候你'评估'某些东西就好像它是可执行代码一样(并且EXPR可能),这就存在安全风险。它可能不是很大,因为脚本将以用户身份运行,并且用户是可以篡改CWD的人。核心风险是:

  • 用户位于“其他”目录中,其他人为其运行了恶意内容。 (例如,想象'config.pl'中有rm -rf /*。也许/tmp中的'config.pl'意外地“运行”了?
    • eval的事情有一个错字,并以时髦和意想不到的方式打破脚本。 (例如,它可能会重新定义$[,并在程序逻辑上以很难调试的方式混乱)
  • 脚本在特权上下文中执行任何操作。这似乎不是这种情况,但请参阅前一点并想象您是root还是其他特权用户。
  

这比修改@INC和仅使用基本文件名更好还是更差?

更糟糕的IMO。实际上,根本不要修改@INC,并使用完整路径或使用FindBin的相对路径。如果没有必要,请不要eval