Non è che da remoto puoi settare variabili d'ambiente a caso, CGI specifica esattamente quali. L'imprudenza è di bash che cicla sulle variabili e fa l'eval di qualunque cosa che assomiglia ad una funzione, è andarsi a cercare rogne.Originariamente inviata da andrea.paiola
PHP era un esempio di soluzione sbagliata ad un problema di sicurezza. Se (come fa il tizio di quell'articolo) chiedi che ti vengano escapati a monte dei dati vuol dire che hai già perso, dato che:e più che Apache sarebbe PHP, in questo caso.
1) significa che a valle non sai distinguere dati da codice, la madre di tutti i problemi di sicurezza (vedi SQL injection, un non-problema che deriva dalla gestione intrinsecamente sbagliata che i programmatori incompetenti fanno dei dati delle query SQL);
2) stai cercando di risolvere il problema nel posto sbagliato, visto che puoi fare l'escaping solo per un determinato linguaggio (PHP lo fa(ceva) per SQL, Apache secondo questa logica malata lo avrebbe dovuto fare per bash), quando a valle potrebbe esserci qualunque cosa: uno script CGI può essere scritto in qualunque linguaggio, e Apache non può saperlo a priori, a meno di non andarsi a guardare lo shebang e introdurre escape differenti a seconda del linguaggio - pura follia; si riproporrebbe appunto il problema delle "magic quotes", per cui ti ritrovi roba escapata per un caso d'uso specifico, e in tutti gli altri casi devi de-escaparla per riottenere i dati originali.
No, non le devi controllare, devi semplicemente farti gli affari tuoi e non cercare di fare l'eval di cose a cazzo, punto.Poi certo sarebbe ottimo controllare le variabili d'ambiente quando le usi, ma in prima istanza non le farei settare.
Rispondi quotando
