使用Perl编写CGI时需要注意的几个问题

一、UNIX与WINDOWS下的差别

由于PERL在最初是UNIX下的工具,现在虽然PERL已经移植到流行的平台上:WINDOWS系统,但是运用起来却是有哪么一点差别,这一点需要引起我们的注意。

1、文件运算符

在UNIX下PERL一共有27个文件运算符可以使用,这些运算符使得我们在不打开文件的情况下就可以获得文件的各种信息。但是在WINDOWS平台下,我们只能使用其中四个运算符,但万幸的是这4个运算符功能不错,基本能满足我们的需要,这就是下面的那4个运算符:

-d 测试文件是不是一个目录
-e 测试文件是否存在
-s 测试文件的大小
-w 测试文件是否是可写的


  前两个运算符返回的是布尔值(即真或假),第3个运算符返回文件的大小(以字节作为返回方式)。下面是使用方法:

if(-e 'perl.exe'){
print 'File size is:'-s'perl.exe';
}
else{
print 'Can't find perl.exen';
}
(-w 'SomeFile')||die "Cannot write to SomeFilen";

2、邮件的发送

在UNIX下运用CGI时,我们往往利用sendmail这个著名的程序进行邮件的发送,但是,在WINDOWS下是没有这个程序的。为了解决这个问题,有人编写了一个专门的软件blat,以便在NT下能够通过SMTP协议发送邮件,我们可以通过在CGI中通过调用blat实现邮件发送功能。有关blat更详细的消息请参看Windows NT发邮件程序blat使用说明及CGI用法一文。不过,现在我们在WINDOWS+PERL环境下有一个更好的解决办法,这个办法不需要第三方软件的支持,而是利用WINDOWS的Socket模块实现发送邮件的功能。使用这个方法需要你的NT服务器Socket模块已经安装(这几乎是肯定的),并且你要选取一个可用的SMTP服务器(这个SMTP服务器你可以利用网上的SMTP服务器中选取一个)。下面是实现上述功能的PERL子程序:

sub smtpmail {

my($recipient,$from,$realname,$subject,$mailbody) =@_;

my ($a,$name,$aliases,$proto,$type,$len,$thataddr,$thisaddr,$i);
my $retaddr = $from;

if ($realname) {
$retaddr = '"'.$realname.'"'." <$from>";
}

&email_err("No recipient!") unless $recipient;

my @TO = split(/,/,$recipient);

$port ||= 25;
my $AF_INET = 2;
my $SOCK_STREAM = 1;
my $sockaddr = 'S n a4 x8';

($name,$aliases,$proto) = getprotobyname('tcp');
($name,$aliases,$port) = getservbyname($port,'tcp') unless $port =~ /^d+$/;
($name,$aliases,$type,$len,$thataddr) = gethostbyname($smtpserver);

my $this = pack($sockaddr, $AF_INET, 0, $thisaddr);
my $that = pack($sockaddr, $AF_INET, $port, $thataddr);

socket(S, $AF_INET, $SOCK_STREAM, $proto) or &email_err("Could not open socket: $!");
bind(S, $this) or &email_err("Could not bind socket: $!");
connect(S,$that) or &email_err("Could not connect to $thataddr: $!");

select(S); $| = 1; select(STDOUT);

if ($doLog == 2) {
open LOG, ">>$maillogfile" or &email_err("Could not open logfile $maillogfile: $!");
}
$a=<S>; print LOG "$an" if $doLog == 2;
&email_err("SMTP error1: $a") if $a !~ /^2/;
print S "HELO localhostn";

$a=<S>; print LOG "$an" if $doLog == 2;
print S "MAIL FROM:$fromn";
$a=<S>; print LOG "$an" if $doLog == 2;
&email_err("SMTP error2: $a") if $a !~ /^2/;
foreach $i(@TO) {
print S "RCPT TO:<$i>n";
}
$a=<S>; print LOG "$an" if $doLog == 2;
&email_err("SMTP error3: $a") if $a !~ /^2/;
print S "DATA n";
$a=<S>; print LOG "$an" if $doLog == 2;
print S "From: $retaddrn";
print S "To: $TO[0]";
for ($i = 1; $i < @TO; $i++) {
print S ",$TO[$i]";
}
print S "n";
print S "Subject: $subjectn";
print S "Reply-To: $fromn";
print S "X-Mailer: WinMailer http://$BBS{'smtpserver'}n";
print S $mailbody;
print S "n";
print S "nn";
print S ".n";
$a=<S>;
print LOG "$an" if $doLog == 2;
print S "QUIT";
undef $/;# $_=<DATA>; print;
if ($doLog == 2) {
close LOG;
}
}

在调用这个子程序的时候,你需要定义变量$smtpserver,给它一个SMTP服务器的地址,例如:$smtpserver = "mail.abc.com",这个变量可以在子程序中进行定义或是在调用子程序之前。调用这个子程序的方法是:

&smtpmail("收方邮箱","发方邮箱","发方名字","邮件标题","邮件内容");

下面是调用的一个例子:

$smtpserver = "smtp.mail.com"
$to_mail = "abcde@163.net";
$from_mail = "matey@hotmail.com";
$from_name = "小兵";
$mail_subject = "告诉你一个好消息";
$body = "..................";
&smtpamil($to_mail,$from_mail,$from_name,$mail_subject,$body);

3、文件名和路径

在UNIX下,我们可以使用相对路径对文件进行调用,但是在WINDOWS下一般是需要绝对路径。在编写CGI的时候请注意这一点。有时候,我们有可能忘了一点:UNIX是区分大小的,而WINDOWS则是不分大小写的,在WINDOWS下编好的CGI放到UNIX下运行不了,则有可能是这个问题。

4、权限问题

众所周所,UNIX和NT的文件权限管理有所不同,在UNIX下分三种权限:是否可读、是否可写和是否可执行,而在NT下却有:读取、写入、执行、删除、更改权限、取得所有权等。在UNIX中,我们对具有CGI执行权限的主页空间一般是这样设置的:CGI目录设为711,其它需要给浏览者发布信息的目录设置为666。而在NT下,则你需要根据实际情况作出给予Everyone用户相应的权限,有时候是可读可写入即可,但是有的进候还要增加“可删除”才行。比如你设置一个论坛,这个论坛的管理中有删除帖子的功能,这个时候存放帖子的目录就行给予用户删除的权限。


二、文件名

文件名是提交给CGI脚本的一种数据,但如果不小心的话,却能导致许多麻烦。 想要打开一个用户提供的名字的文件时,都必须严格检查这个文件名以免招至系统重要文件泄露。用户输入一个文件名,有可能就试图打开输入危险字符串! 例如,用户输入的文件名中包含路径字符,如目录斜杠和双点!尽管你期望的是输入公用的文件名,例如report.txt,但结果却可能是/report.txt或../../report.txt,系统中所有文件就有可能泄露出去,后果是可想而知的.。
如果用户输入一个已有文件名或对系统的运作有很重要的文件件名!比如输入的文件名是/etc/passwd,那用户就可以对该文件任意修改。可能第二天登录网站时进行更新的时候,你就发现密码被别人修改了,那时你只有写信给系统管理员请求帮助了。 所以在编写CGI脚本时要保证所有字符都是合法的。下面这段代码能把不合法的字符过滤掉。
if(($file_name =~ /[^a-zA-Z_.]/) || ($file_name =~ /^./)) {
print "文件包含有不合法字符,请重新输入";
exit;
}
最好将上面代码做为一个子程序,这样就可以重复地调用它这样也方便于修改. 对于不允许输入HTML下面有两个方案.
1、有种简单的方法就是不允许小于号(<)和大于(>)因为所有HTML语法必须包 含在这两个字符间,如果碰到它们就返回一个错误是一种防止HTML被提交的简单的方法. 下面一行Perl代码快速地清除了这两个字符:
$user_input=~s/<>//g;
2、复杂一点的方法就是将这两个字符转换成它们的HTML换码(特殊的代码),用于表示每个字符而不使用该字符本身. 下面的代码通过全部用& lt;替换了小于符号,用& gt;替换了大于符号,从而完成了转换:
$user_input=~s/</</g;
$user_input=~s/>/>/g;

 

三、发送MAIL的安全问题

当你在CGI中使用了一个邮件功能的时候,你是否注意到服务器的安全?黑客可以在利用它获取任意文件。

在编写时要注意以下几点:

1、判断输入的数据是否为合法的E-MAIL地址,例如:

if ($names{'mail'}=~tr/;"',*|&!$#()<>[]{}://){ #如果数据带有命令字符则

print "Content-type:text/htmlnn";

print "抱歉你的E-MAIL地址不合法,请您从新输入";

exit;

}

  2、在UNIX下使用:“ open(MAIL,"|sendmail -t"); ” 其中-t表示只处理邮件而不对命令进行任何处理!

4、输出到浏览器

这是新手要注意的一个问题。
输入到浏览器的命令是:print "Content-type:text/htmlnn"; ,表示以文本方式在浏览器上显示后面的输出,切记这行命令后面的nn是不能少的。只有这样,你才能在浏览器上看到CGI的运行结果。另外, print "Content-type: image/x-xbitmapnn";
表示以图像方式输出到浏览器,这个方式在编写图形计数器时经常会用到。