Question

У меня есть Java-программа, которая взаимодействует с репозиториями Mercurial с помощью клиента hg, выполняемого с помощью commons exec.Поскольку мне придется время от времени передавать пользовательские входные данные в hg (например, настройки прокси-сервера, URL-адрес источника и т. Д.), Какие библиотеки доступны для очистки входных данных для меня?В настоящее время я просто раздеваю что-нибудь после и включая первый ';'символ, но я не уверен в других методах, где кто-то может запускать произвольные команды.

usr · Answer 1 · 26 мая 2011

Вы не можете быть в безопасности путем внесения в черный список (это то, что вы делаете). Вместо этого вы должны внести в белый список разрешенные символы (буквы, цифры, пробел, точка, ...). Не поддавайтесь искушению в черный список, он никогда не работает. (Например, вы код выживает пробелы? Он переживает \ 0 символов?)

Дезинфицировать входные данные для внешнего процесса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Дезинфицировать входные данные для внешнего процесса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы