Имеем строку

Код

if($param=~/[^A-Za-z]+/){ last; }

.
Это проверка на отсутствие символов. Вопрос, стоит ли вырезать другие символы такие как:
\0,\,(,),!,@,#,$,%,^,&,* и т. д. Или не стоит, ведь всё равно при наличии посторонних символов программа завершится. Или лучше вырезать, так как можно это как-то обойти и тем самым получить несанкционированный доступ. Спасибо.

Не совсем понятно что ты хочешь. Даннуый код можно прочесть так:
Выйти из цикла если в переменной $param несколько, возможно один символ латинского алфавита.

Меня просто заинтересовало можно-ли через передачу параметров cgi-программе передать какие либо символы которые могли-бы изменить ход этой программы. Код который выше как раз и проверял параметр на наличие символов A-Za-z. Просто где-то читал что можно вставить
в html-форму примерно такой тег: <img source='http://zloi_dyadya/cgi-bin/spy.pl>. Поэтому я и задал такой вопрос. А вообще как ты проверяешь входные данные на наличие таких тегов и всего такого нежданного? Как ты контролируешь что запускаемые функции вызываются в той последовательности в какой ты и задумал? Спасибо.

Я же, уже помоему тебе говорил, как я это делаю. Во первых, проверяй на то, что можно, а не на то, что нельзя.
Например, ты из-какого либо поля получаешь имя пользователя, которое может состоять как из одного слова так и из нескольких. Теперь давай подумаем какие символы можно пропустить. Так как имя может состоять только из сиволов какого-либо алфавита и пробелов, потому как мы допускаем ввод полного имени, из нескольких слов. Пишем такое регулярное выражение:

Код

#!/usr/bin/perl -w use strict; use locale; # Обрати внимание на строку, точнее на её вид my $param = "      пуПкин                вАсиЛий      сТеПанОвиЧ        "; # Удалим все ненужные пробелы и переведём все символы в нижний регистр # в каждом слове первый символ переведём в верхний регистр $param = join(" ", map { ucfirst( lc( $_ ) ) } split(" ", $param)); # Проверим соответствует ли наша строка имени. # Если в имени будет 4 слова, то условие будет ложно, # если в именм будут какие либо символы кроме латинского # и русского алфавита и пробелов - условие будет ложно. if ( $param =~ /^(?:[A-Za-zА-Яа-я]+\s*?){1,3}$/ ) {      print "Условие прошло, можно записывать в базу\n";      print "На выходе получаем такую строку: $param\n"; } else {      # Выводим ошибку      print "Не верно указано имя"; }

Поэксперементируй с этим кодом, попробуй передать цифру или любой не допустимый символ или напиши в строке четвертое слово.
Удачи.

Это сообщение отредактировал(а) korob2001 - 27.3.2005, 15:38

Цитата(r @ 27.3.2005, 14:08)

Просто где-то читал что можно вставить в html-форму примерно такой тег: <img source='http://zloi_dyadya/cgi-bin/spy.pl'>.

Ну это понятно, значит через ввод параметров злые дядьки не пролезут, за исключением разве что ввода больших данных, да?

P.s. И вставки кода см. цитату.

Цитата

Ну это понятно, значит через ввод параметров злые дядьки не пролезут, за исключением разве что ввода больших данных, да? P.s. И вставки кода см. цитату.

Ничего не понял, что ты этим хотел сказать????

Читал что если передать большие данные методом POST, то будет сбой если не запретить принимать данные в больших количествах например:

Код

$CGI::POST_MAX=1024*100;

запрещает принимать больше ста кило,
А ещё читал где-то как осуществляют атаки например то-ли на форумы, то-ли гостевые книги,
просто перенаправляют вызов чьей-то программы на свою например:

Код

<img source='http://zloi_dyadya/cgi-bin/spy.pl'>

, и если не отфильтровать такие теги то вызовется вышеуказанный скрипт.
Вот я и подумал, а если вставить в форму такой вызов, сработает? Спасибо.

Цитата

Читал что если передать большие данные методом POST, то будет сбой если не запретить принимать данные в больших количествах например:

Всё верно, это особенно полезная переменная при загрузке файлов на сервер, да и вообще для контроля за кол-вом получаемой информации, но делать проверку регулярками нужно в любом случае.

Да, только вот вопрос до сей поры мучает, отослал допустим сервер форму юзеру а он сохранил ее на винт, да подправил кое-что например указал где находится какой-либо ресурс

Код

<img source='http://zloi_dyadya/cgi-bin/spy.pl'>

и вот, теоритически, что может сделать энтот скрипт зловредного когда загрузится?

А куда он загрузится??? Юзер сохранил твою форму у себя на винте, изменил исходник HTML, что произойдёт с юзером, это должно волновать, только его самого, не тебя, а уж тем более не сервер.

Или я не понял вопроса, или ты не до конца пояснил его???

Да, наверно я стакан проглотил лишний, и мысль теряется, у меня какая-то маниакальная идея, а вдруг энтот подлец начнёт каким-то образом фулиганить, например вышеуказанный скрипт, может-ли он при передаче с формой работать в процессоре другой машины, как процесс, открывать файлы, читать/записывать в/из них? Или например принимать ВСЕ параметры переданные пользователем(если не указать какие-точно параметры скрипт ведь все примет).

Работать он будет на этой машине: http://zloi_dyadya/cgi-bin/spy.pl, но только в том случае если по этому адресу есть такой скрипт, если у него установленны права исполняемого файла ну и так далее.

Это сообщение отредактировал(а) korob2001 - 26.4.2005, 19:22