摘要:Python的eval()函数可以把字符串“123”变成数字类型的123,PP3E上说它很危险,还可以执行其他命令!
在家没事,做了些试验。果然,如果python写的cgi程序中如果使用eval()而非int()来转换诸如年龄这样的输入框中的内容时是非常危险的。不仅可以看见列出系统的全部文件,还可以删除文件,察看文件源代码。
试着写了个程序,想把本地的脚本文件同过这样的形式一行一行的写到服务器的某个文件里,可最后失败在无法输入换行符"\n",在提交的语句里只要有换行符,就会出现EOL的出错提示,换了编码方式还是没能成功。
在网吧上网不方便,等开学再把过程写下来。 (全文共1294字)——点击
此处阅读全文