sslug-teknik team mailing list archive

[soeren.koch@xxxxxxxx]

> Spørgsmålet lød: 'Hvordan kører man Perl fra "web" ?'.
> Jeg bruger PHP og lægger PHP-kode ind i HTML. Derfor var min 
> umiddelbare 
> tanke at et Perl module til Apache har samme funktion.
> Men det du siger er, at man kan køre "web" fra Perl, dvs. generere 
> HTML-kode med Perl.
> F.eks.:
> #!/usr/bin/perl
> print "<html><head>\n";
> osv. osv.
> 
Problemet med at lægge PHP eller perlkode ind i en html side er at alle så får adgang til at analysere kildekoden og har dermed MEGET lættere ved at opdage fejl og eller uforsigtigheder som vil muliggøre angreb (jeg tænker her på shell-angreb igennem eventuelle system(), open() eller exec() komandoer samt SQL injection hvis man arbejder med databaser.

Det er meget bedre at lægge kildekoden (Perl eller andet) i det dedikerede cgi-bin dir som webserveren kan læse fra, 
men ikke vise udadtil. Det gør selvf. ikke at man ikke skal være meget forsigtig med at håndtere brugerinput etc, men gør det sværere for en angriber at finde ud af hvad den lætteste måde at komme ind på er.

Søren Koch
Udviklingsingeniør
Direkte telefon +45 4677 5816
Mobil 
soeren.koch@xxxxxxxx

Afdelingen for Brændselsceller og Faststofkemi
Forskningscenter Risø
Danmarks Tekniske Universitet
Bygning 228, Postboks 49
4000 Roskilde
Tel +45 4677 5800
Fax +45 4677 5858
www.risoe.dk
Sikker e-post sendes til risoe@xxxxxxxx 

Forskningscenter Risø, Danmarks Fødevareforskning, Danmarks Fiskeriundersøgelser,
Danmarks Rumcenter og Danmarks TransportForskning er den 1. januar 2007 lagt sammen med
Danmarks Tekniske Universitet med DTU som den fortsættende enhed.