关于 ShellShock 的另外的看法

2014-09-27 21:44:14 +08:00

qdcanyun

http://paste.lisp.org/display/143864

这篇文章作者认为
从Bash当时诞生的环境来设计并且被使用,而且这是一个feature.
在Bash诞生五年之后, Apache Dhcp这些东西才诞生, 而且通过环境变量传递相关数据才导致问题的产生

3200 次点击

所在节点

4 条回复

VYSE

2014-09-28 01:16:22 +08:00

类似也可以说注入是sql的一个feature，后来的程序没有好好过滤才是责任。
但你总得跟开发者说清楚你也可以直接在环境变量里写代码吧？

henices

2014-09-28 15:08:59 +08:00

这个明显是bash的问题。

dorentus

2014-09-28 15:14:21 +08:00

@VYSE SQL 注入这个确实是程序自己的责任。
大部分 SQL Server 都提供类似 prepared statements 的机制，程序自己不用，非要使用未验证的用户输入来拼 SQL 字符串……

gamexg

2014-09-28 15:56:09 +08:00

nginx php 执行

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.