关于Perl的tainted模式

兰花仙子

两位大虾的讨论也让偶有所收获哦。

Apile的这句：
$untainted_variable = $var =~/(w+)/;
按照偶的理解，是否该这么写啊：
($untainted_variable) = $var =~/(w+)/; # 强迫"="赋值位于列表上下文
或者：
($untainted_variable = $var) =~/(w+)/; # 强迫先给$untainted_variable赋值，再匹配

Apile的原写法，应该是先匹配，再赋值给$untainted_variable，由于赋值的环境是标量上下文，结果应该是个数字，而不是匹配命中的结果哦。

从句子表面判断的，没test，大家看看对不对哈。

apile

不好意思..少写了()...仙子说得没错....

只是连从DB里面抓出来的variable..也是tainted...这就很麻烦了...

有时候几十个variable...一个一个检查....这样的程序写得会很累的....

flw

哈哈！支持讨论语法！

flw

下面这个是 perldoc perlsec 里的：

1. sub is_tainted {
   
2.     return ! eval { eval("#" . substr(join("", @_), 0, 0)); 1 };
   
3. }
   

复制代码