18.2.6 关心安全
有一个重要的规则:如果你想调用一个外部的程序(通过os.system()或os.popen()函数,或其它类似功能的函数),非常确信你不传递任意的从客户端接收的字符串给shell。这是一个众所周知的安全漏洞,为何聪明的黑客在Web的任何地方可以利用一个易受骗的CGI脚本调用任意的shell命令。甚至URL部分或字段名称不能被信任,因为请求不必来自你的表单!安全起见,如果你必须传递一个从表单中得到的字符串给shell命令,你应该确信字符串仅包含字母数字符号,破折号,下划线,和时期。
出处[url=http://www.okpython.com]PYTHON中国[/url],关于翻译的任何事情请[color=Red]EMAIL[/color]给我[email=zkfarmer@gmail.com]ZKFARMER[/email],更多文档在[url=http://www.zkfarmer.org]我的站点[/url],[color=Green]请参阅官方英文文档[/color]。
页:
[1]