最近有一個項目,我繼承了生成頁面的PDF一個簡單的Perl腳本:的Perl webscript懷疑安全
#!/usr/bin/perl
use CGI;
my $file="showdata.pdf";
my $filepath= "/tmp/$file";
system("wkhtmltopdf \"sample.com/showdata.php?".$ENV{"QUERY_STRING"}."\" $filepath");
print ("Content-Type:application/x-download\n");
print ("Content-Disposition: attachment; filename=$file\n\n");
open FILE, "< $filepath" or die "can't open : $!";
binmode FILE;
local $/ = \10240;
while (<FILE>){
print $_;
}
close FILE;
unlink ($filepath);
我擔心直接替代變量$ ENV {「QUERY_STRING」}。但是,在粗略測試中,我沒有發現任何問題。我無法在已知的可寫目錄中創建/刪除文件。我試過的不好或腳本中的問題不應該是?