Inline::Python 的不安全依赖

Question

在-T 模式下运行Inline::Python 时，如何解释此编译时错误消息？

在 /usr/local/lib/perl/5.14.2/Inline/Python.pm 第 193 行使用 -T 开关运行时打开不安全的依赖项。

第 193 行是 Inline::Python 打开 $o->{API}{location} 的位置，我认为它是“内联目录”。

当然，我已经使用了所需的选项：

use constant _INLINE_DIR_ => '/var/myapp/inline';
use Inline Config => UNTAINT         => 1,
                     NO_UNTAINT_WARN => 1,
                     DIRECTORY       => _INLINE_DIR_;

我已经确保/var/myapp/inline 和其中的所有内容都可以被每个人写入，显然包括root 和应用程序在运行时被setuid'ed 的用户。

同样的脚本在我的计算机上运行没有问题，无论我是否以 root 身份启动它，运行 Inline 0.50 Inline::Python 0.43，但是当我尝试在使用相同的服务器上运行它时给我这个错误Inline::Python 的版本和 Inline 的 0.49 或 0.55 版本。

Answer 1

由于这在不同的环境中有所不同，我敢打赌，Inline 或 Inline::Python 在执行UNTAINT 配置参数请求的步骤之前正在读取一个环境变量。

（与评论相反，我认为文件权限不会导致此消息，只是对命令行参数或环境变量的依赖不安全）

鉴于此，我将通过强制清除环境然后仅添加您知道需要的那些环境变量来启动您的脚本：

%ENV = ();
$ENV{'PATH'} = '/bin:/usr/bin:/usr/local/bin';  # Or whatever's appropriate
$ENV{'PYTHONPATH'} = '/usr/local/lib/python';   # Optional, if appropriate
# ... etc ...