1

除了RATS之外,还有其他 Perl 安全扫描器吗?

可能还有任何仅STATIC的perl 代码图形引擎,它能够跟踪数据流或其他受污染的输入?

4

2 回答 2

3

Perl::Critic主要基于Perl Best Practices一书实现了许多安全检查。鉴于 Perl::Critic 是使用 PPI 解析器编写的,它可能可以实现比 RATS 更大的内省。

也就是说,没有任何代码扫描器或实用程序会发现仅由不良编程实践导致的安全错误。一些简单的最佳实践可以大有帮助。perlsec 手册页详细介绍了许多 Perl 安全问题,并提供了一些很好的实用建议。

根据我自己审核大量不良代码的经验:

  • 始终使用污点模式(-T标志)
  • 总是use strict
  • 总是use warnings
  • 在 DBI 代码中始终使用占位符
  • 在将任何输入用作文件名、方法/函数名或系统调用的参数之前,请务必仔细检查和清理
  • eval尽可能避免使用字符串;无论如何,它是低效的。永远不要将用户输入放入eval字符串中。

我敢肯定还有更多我现在不记得了,但已经晚了。:)

于 2009-07-19T08:51:03.340 回答
0

关于图形引擎,我刚刚找到了PPI

解析、分析和操作 Perl(没有 perl)

主要特点包括:

  1. 文档(perl 代码)
  2. 结构和质量分析
  3. 重构
  4. 布局
  5. 介绍
于 2009-07-19T16:48:52.337 回答