首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qdcanyun
V2EX  ›  程序员

关于 ShellShock 的另外的看法

  •  
  •   qdcanyun · 2014-09-27 21:44:14 +08:00 · 2523 次点击
    这是一个创建于 1943 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://paste.lisp.org/display/143864

    这篇文章作者认为
    从Bash当时诞生的环境来设计并且被使用,而且这是一个feature.
    在Bash诞生五年之后, Apache Dhcp这些东西才诞生, 而且通过环境变量传递相关数据才导致问题的产生
    4 回复  |  直到 2014-09-28 15:56:09 +08:00
    VYSE
        1
    VYSE   2014-09-28 01:16:22 +08:00 via Android
    类似也可以说注入是sql的一个feature,后来的程序没有好好过滤才是责任。
    但你总得跟开发者说清楚你也可以直接在环境变量里写代码吧?
    henices
        2
    henices   2014-09-28 15:08:59 +08:00
    这个明显是bash的问题。
    dorentus
        3
    dorentus   2014-09-28 15:14:21 +08:00
    @VYSE SQL 注入这个确实是程序自己的责任。
    大部分 SQL Server 都提供类似 prepared statements 的机制,程序自己不用,非要使用未验证的用户输入来拼 SQL 字符串……
    gamexg
        4
    gamexg   2014-09-28 15:56:09 +08:00
    nginx php 执行
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1901 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 10:51 · PVG 18:51 · LAX 02:51 · JFK 05:51
    ♥ Do have faith in what you're doing.