Page précédente Remonte d'un niveau Page suivante Bibliothèque de Référence Python Table des matières Index des Modules Index
Précédent: 11.2.4 Fonctions Parent: 11.2 cgi --- Support de CGI (Common Gateway Interface). Suivant: 11.2.6 Installation d'un script CGI sur un système Unix

11.2.5 Attention à la sécurité

Il y a une règle importante: si vous invoquez un programme externe (par exemple via les fonctions os.system() ou os.popen()), assurez-vous absolument que vous ne passez pas des chaînes arbitraires reçues du client vers le shell. Il s'agit d'une faille de sécurité bien connue par laquelle des hackers habiles n'importe où sur le web peuvent exploiter un script CGI trop crédule pour invoquer n'importe quelle commande du shell. On ne peut même pas faire confiance à des morceaux d'URL ou aux noms de champs, puisque la requête peut ne pas venir de votre formulaire !

Pour être sûr de votre fait, si vous devez passer une chaîne reçue depuis un formulaire à une commande du shell, vous devez vous assurer que la chaîne contient seulement des caractères alphanumériques, des tirets, des caractères de soulignement et des ???????????????????????????

 
Page précédente Remonte d'un niveau Page suivante Bibliothèque de Référence Python Table des matières Index des Modules Index
Précédent: 11.2.4 Fonctions Parent: 11.2 cgi --- Support de CGI (Common Gateway Interface). Suivant: 11.2.6 Installation d'un script CGI sur un système Unix