如何清理 Perl 中打开文件的输入

Question

我有一个 Perl 脚本，它可以打开一个文件、处理它并打印一些输出。 输入文件被压缩。

$file 的路径作为参数传递给脚本。

以下是我正在使用的当前解决方案：

open(my $fh, "-|", "$gzcat $file") or die("Cannot open $file$!");

该脚本最近在Checkmarx的安全审计中失败，报错如下：

<script> gets user input for the $fh element. This element’s value then flows through the code without being properly sanitized or validated and is eventually displayed to the user in method <method>. This may enable a CrossSite-Scripting attack.

我尝试使用 perl -f 验证文件是否存在，并使用 $file =~ s/[^A-Za-z0-9_\-\.\/]//g; 删除不需要的字符，但它不满足 Checkmarx。

我想知道在 Perl 中清理包含文件路径的输入的正确方法是什么。

Answer 1

只要您在支持分叉的操作系统上使用 Perl 5.8 或更高版本，或者在 Windows 上使用 5.22 或更高版本，您就可以在运行命令时使用管道打开的列表形式绕过 shell。这可以避免文件名包含 shell 将解释的元字符的问题，例如 & 和空格。

open(my $fh, "-|", $gzcat, $file) or die("Cannot open $file: $!");

但是，这不是所要求的验证或清理，但重要的是要避免漏洞和不当行为。提到的跨站点脚本可能是由于后面提到的文件名被显示；例如，如果它显示在 HTML 页面中，则必须对其进行 HTML 转义，大多数模板系统都有方法来做到这一点。

Answer 2

我最终用

删除了不需要的字符

$file =~ s/[^A-Za-z0-9_\-\.\/]//g;

使用Perl -f 检查文件是否存在，并使用打开文件 IO::Uncompress::Gunzip。

这通过了 Checkmarx 的审核。