まず、私は Web 開発の初心者です。ユーザー入力を受け入れる 2 つのテキスト フィールドを持つ単純な mod_wsgi webapp を作成しています。
最初の入力 nnodes は、0 ~ 30 の整数でなければなりません。
2 番目の入力であるサイズは、0 ~ 20 の整数または浮動小数でなければなりません。
これまでにスクリプトで行った検証/サニタイズは次のとおりです。スクリプトの後半で入力リダイレクトをどのように使用するかを見て、重大な悪意のある脅威の影響を受けやすいかどうかについて誰かがコメントできることを期待していました。
nnodes = escape(nnodes)
size = escape(size)
if nnodes.isdigit() and int(nnodes) in range(31):
pass
elif nnodes=='':
response_body=html % ' '
status='200 OK'
response_headers = [('Content-Type', 'text/html'),('Content-Length',str(len(response_body)))]
start_response(status, response_headers)
return [response_body]
else:
response_body=html % 'Please enter the number of malignant nodes as a whole number between 0 and 30.'
status='200 OK'
response_headers = [('Content-Type', 'text/html'),('Content-Length',str(len(response_body)))]
start_response(status, response_headers)
return [response_body]
###Validate that the tumorsize is a float between 0-25.
try:
size=='' or float(size)
pass
except:
response_body=html % 'Please enter the tumor size as a number between 0 and 25.'
status='200 OK'
response_headers = [('Content-Type', 'text/html'),('Content-Length',str(len(response_body)))]
start_response(status, response_headers)
return [response_body]
if 0<=float(size)<=25:
pass
elif size=='':
response_body=html % ' '
status='200 OK'
response_headers = [('Content-Type', 'text/html'),('Content-Length',str(len(response_body)))]
start_response(status, response_headers)
return [response_body]
else:
response_body=html % 'Please enter the tumor size as a number between 0 and 25.'
status='200 OK'
response_headers = [('Content-Type', 'text/html'),('Content-Length',str(len(response_body)))]
start_response(status, response_headers)
return [response_body]
###After the validation, I use input redirection to pass the input to an R script. I know this is not optimal but I can't get the Rpy2 module to work on my server.
###I also know that input redirection can open an app up to shell injection, but that is why I am asking you all if I've done sufficient validation and sanitization.
commandString="/home/usr/bin/R --no-save --quiet --slave --args " + str(nnodes) + " " + str(size) + " </home/usr/webapps/simple/htdocs/webcalc.R"
subprocess.call(commandString,shell=True)
皆さんからのアドバイスに感謝します。