linux下改别人的CGI程序，总遇到这样的问题

qwert3399

Insecure dependency in sysopen while running with -T switch at
google了一下，看不太明白
另外-T参数具体是做什么用的？

climby

回复 1# qwert3399

这个要解释的非常清楚，还真是不那么容易。以下解释仅作参考
-T 作为 #!/usr/bin/perl 的参数，  是tainted 模式开启的开关。tainted 不好翻译，直译为“脏”模式。就是这种模式认为所有的外部数据都是"脏"的，所谓的"脏"，其实的含义是受到了污染，不安全的意思。如此一来有两个问题：
1）哪些数据是外部数据呢? 页面上form收集的用户输入的数据都是外部数据，还有就是一些全局的环境变量，象%ENV等；
2）对于这些脏数据，如何处理呢。 脏了嘛，当然是--“洗洗更健康了” {:3_189:} 。需要对这些外部数据进行untainted处理。对于form传过来的数据，可以使用正则过滤一下，过滤的本意是要防止传入一些可能对服务器造成损害的可执行语句，但这种正则过滤的规则完全取决于你自己，就是加了-T的参数，程序只是要求对外部数据进行特别关注，具体关注方法由程序员来决定。有些程序员为了偷懒，直接使用m/.*/过滤。 这种做法是欺骗，跟不使用-T 效果一样，只不过不会报出你所见到的错误了。

所以，一句话 -T是一个加强安全性的开关选項。

qwert3399

回复 2# climby

谢谢你，大概明白了-T参数的含义。不过我发现我的CGI脚本把-T参数去掉也一样会提示这样的错误
提示错误的那一行只是这么一句
sysopen(SESSION,"$sessiondir/$thissession",O_WRONLY|O_TRUNC|O_CREAT)

我就是把原来的$sessiondir换了个路径而已，CGI就不运行了，就这样$sessiondir=/home/user1仅此而已，我怕权限不够，就把/home/user1的权限设成了777
脚本的第一行是
#!/usr/bin/suidperl貌似这只是个指向/usr/bin/perl的连接而已，跟这个有关吗？

qwert3399

我知道了，我确实用到了一个从form获取的数据