問題の歴史:
字句解析(lexical analysis)はPerlコードの解釈の最初のステージです。この段階で、ソーステキストは「レキシム」に分割されます:変数、キーワード、演算子、リテラルなど。Perlの特徴は、言語の文法が非常に柔軟で、多くの構文がバリエーションを許可し、変数が演算子や識別子と交互に出現することです。
問題:
Perlの字句解析における主な課題は、パースの曖昧さと、特にevalタイプの構文やファイル、パス、正規表現内の文字列に変数を直接挿入することによる危険性です。Perlは「二重パース」を行いません:eval用に文字列を形成する場合、パースはゼロから構築され、それが予期しないエラーや脆弱性(DBIに対するSQLインジェクションや文法エラーなど)を引き起こす可能性があります。
解決策:
字句解析時の予期しない副作用を避けるために、できるだけ明示的なコードを書き、use strictとwarningsを使用し、不要なevalを避け、動的生成を文字列の挿入ではなく構造的に表現します:サブルーチン、クロージャー、データ型の厳格な型付けを通じて。複雑な置換にはしばしばsprintf、sprintfに似たフォーマットやモジュール(例えばText::Template)を利用します。
コード例:
my $operation = 'print'; my $argument = 'Hello, world!'; # 決してこのようにしないでください: eval "$operation \"$argument\";"; # 危険! # より良い方法: if ($operation eq 'print') { print $argument; }
主な特徴:
トリックの質問 1: 「evalを使用する際に、文字列内のシングルクォートとダブルクォートを単にエスケープすれば、脆弱性を回避できますか?」
実際、クォートの単純なエスケープでは、すべての可能な脆弱性から保護されるわけではありません。なぜなら、Perlパーサーは文字列を全体として解釈し、複雑な入れ子構造がエスケープを回避する可能性があるからです。構造的なアプローチを使用してください。
トリックの質問 2: 「here-docを使用して、eval用の安全なPerlコードを生成できますか?」
Here-docは長い文字列の構造を容易にしますが、構文エラーから保護されるわけではなく、クリーニングされていないデータを挿入すると依然としてインジェクションに対して脆弱です。それは安全性を提供しません。
トリックの質問 3: 「Perlは、evalに直接渡されない文字列内の式を認識しますか?」
いいえ、Perlは実行可能なコードのみを解析します。evalや同様のメカニズムの外にある文字列はパースされず、実行されません。
プログラマーがユーザーの入力を検証せずに動的SQLクエリを文字列として生成し、その後evalによってそのクエリを実行しようとします。
利点:
欠点:
動的evalの代わりにDBIの準備されたステートメントを使い、パラメータをプレースホルダー経由で挿入し、use strictやwarningsでエラーをカバーします。
利点:
欠点: