V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qdcanyun
V2EX  ›  程序员

关于 ShellShock 的另外的看法

  •  
  •   qdcanyun ·
    adamwen829 · 2014-09-27 21:44:14 +08:00 · 3280 次点击
    这是一个创建于 3705 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://paste.lisp.org/display/143864

    这篇文章作者认为
    从Bash当时诞生的环境来设计并且被使用,而且这是一个feature.
    在Bash诞生五年之后, Apache Dhcp这些东西才诞生, 而且通过环境变量传递相关数据才导致问题的产生
    4 条回复    2014-09-28 15:56:09 +08:00
    VYSE
        1
    VYSE  
       2014-09-28 01:16:22 +08:00 via Android
    类似也可以说注入是sql的一个feature,后来的程序没有好好过滤才是责任。
    但你总得跟开发者说清楚你也可以直接在环境变量里写代码吧?
    henices
        2
    henices  
       2014-09-28 15:08:59 +08:00
    这个明显是bash的问题。
    dorentus
        3
    dorentus  
       2014-09-28 15:14:21 +08:00
    @VYSE SQL 注入这个确实是程序自己的责任。
    大部分 SQL Server 都提供类似 prepared statements 的机制,程序自己不用,非要使用未验证的用户输入来拼 SQL 字符串……
    gamexg
        4
    gamexg  
       2014-09-28 15:56:09 +08:00
    nginx php 执行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2989 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 14:50 · PVG 22:50 · LAX 06:50 · JFK 09:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.