問題タブ [taint]

モードで実行Inline::Pythonしているときにこのコンパイル時エラー メッセージが表示される理由は何ですか?-T

/usr/local/lib/perl/5.14.2/Inline/Python.pm 行 193 で -T スイッチを使用して実行している場合、open での依存関係が安全ではありません。

行 193 はInline::Pythonopensの場所で$o->{API}{location}、これを「インライン DIRECTORY」とします。

もちろん、必要なオプションを使用しました。

私は/var/myapp/inline、その中のすべてが誰でも書き込み可能であることを確認しました。明らかに、アプリケーションがsetuid実行時に実行されるルートとユーザーの両方を含みます。

Inline0.50 Inline::Python0.43 を実行して、root として起動するかどうかに関係なく、まったく同じスクリプトが私のコンピューターで問題なく動作しますが、同じバージョンのInline::Python0.49 または 0.55 のいずれかを使用するサーバーで実行しようとすると、このエラーが発生します。 Inline.

入力や環境などに依存しない、100% 信頼できるソリューションを探しています。100% 確実にスカラー変数を汚染したいだけです :-)

まず第一に、あなたの助けに感謝します. html2canvas を使用して、アプリの Web の画像を取得し、ソーシャル ネットワークで共有しています。アプリにはキャンバス レイヤーを含むリーフレット マップがありますが、結果の画像は不完全です。L_PREFER_CANVAS = true;リーフレットマップにキャンバスを強制するオプションを入れました。リーフレット画像プラグインも使用しましたが、ベースマップのみが返され、凡例も必要です。

本当にありがとう。

jsで

ログ

Perl の明らかな動作は、汚染された状態に基づいて枝の剪定後に残っている枝の定数を汚染することです。これは文書化されていますか？

これは出力します1：

exit の後のすべて (元の問題では return でした) は、汚染された状態に基づいてブランチの剪定が発生した後に残るブランチにあるため、定数0が汚染されているようです。これはたまたま Perl の汚染モードの非常に気の利いた機能ですが、そのドキュメントはどこにも見つかりません。が設定されていない場合$ENV{T}、または条件が への動的アクセスにある$ENV{T}場合、定数は汚染されません。

ちなみに、この質問が発生する関連する暗黙の実際のソフトウェア開発の問題に対する現時点で私が知っている最良の答えは、定数を汚染することなく、開発時に汚染モードの perl ソースのセクションをオフにするにはどうすればよいかということです。次のように、汚染された環境変数ではなく、定数を定数に設定します。

Perl で変数を untainting する場合、すべての untainting は Perl (.pl) ファイルに対してローカルで実行する必要がありますか、それとも Perl Module (.pm) を介して untaint に渡すことができますか?

たとえば、汚染除去は次のようになります。

(明らかに、入力をブランケットマッチにするのは悪い習慣です。これは例を示しているだけです)

複数の .pl ファイルで同じ正規表現に対して実行したいので、.pm を介して渡すことができるのではないかと思っています。

「myUntaint」は、正規表現を含む .pm 「myModule」内のサブルーチンです。