CGI 脚本不会创建目录 [关闭]

Question

我有一个从 URL 访问的 perl CGI 脚本。我用perl -wc检查了语法，似乎没问题。但是，创建目录的命令都没有正确执行。权限设置为755。

有人知道如何诊断这个问题吗？

这是代码：

#!/usr/bin/perl

use CGI;
#-- create CGI Query
$q = CGI->new;
$prefix = "X__";

print "Content-type: text/html\n\n";

#-- get companyID
$entityID = $q->param('entityID');

#-- get directory name
$dir = "${prefix}${entityID}";

#-- change directory
chdir("/var/www/html/web/customers");

#-- create parent company directory
`sudo mkdir -m 755 $dir`;
print "${entityID}";

Answer 1

您在这段代码中有许多最糟糕的做法。看着它的一部分让我很痛苦。有未经处理的数据被发送到系统调用。有故意的特权升级。看到这些会很痛苦，它们会给你带来麻烦，现在和以后。

当您为类似这样的脚本跟踪 Apache 的问题时，需要注意的事项是：

• 脚本内系统调用的返回值。

  `foo`;
  

  对于 perl 5.10 及更高版本，这会将值返回到 ${^CHILD_ERROR_NATIVE}。这个值是多少？这会告诉您 foo 实际返回的内容以及它是否成功。 (perldoc)

• Apache 错误日志。在某个地方，有一个 apache 正在写入的错误日志。它可能在不同的地方，部分取决于配置。有 apache 虚拟服务器错误日志和 apache 服务器错误日志 - 两者都可能需要查看。

• 出于某种原因，这里使用了sudo（这不是是件好事）。 sudo 有自己的日志，应该进行调查。 (Where are sudo incidents logged?) sudo 可以登录的地方很多 (documentation)，您可能需要在自己的系统上进行调查。

不过，我再次恳求编写这样代码的人不要一开始就编写这样的代码。在这段代码中有足够宽的安全漏洞可以让卡车通过。是的，它可能是一个一次性脚本，您很快就会为客户或市场营销人员或不太了解的人（您应该）在 Intranet 上运行...但有些天...该代码将在互联网上运行，当有人将entityId=/../../../../../../im_in_ur_root/creating_directories 传递到您的参数中并且您开始发现在奇怪的地方创建的目录时，所有地狱都将失败。

• 不要在反引号、打开或系统中使用sudo。这是一个等待发生的问题。
• 请务必使用 perl 提供的函数调用来创建目录。
• 请正确设置目录的权限，以便 Web 服务器可以写入它应该能够写入的目录，而无需提升权限。