Регистрация сервера - Apache HTTP сервер

Question

"Кроме того, файлы журналов могут содержать информацию, предоставленную непосредственно клиентом, без экранирования. Поэтому , злонамеренные клиенты могут вставлять управляющие символы в файлы журналов, поэтому необходимо соблюдать осторожность.в работе с необработанными журналами. "

http://httpd.apache.org/docs/1.3/logs.html

Что это значит, когда говорится" без побега "?

Answer 1

Чтение: http://en.wikipedia.org/wiki/Code_injection#Shell_injection

Если бы я избежал html, <a> был бы переведен в <a>

Таким образом, код не будет отображаться и не будет выполняться (и поэтому считается безопасным).

Если бы я принимал пользовательский ввод и передавал его непосредственно другим пользователям, кто-то мог бы поместить туда вредоносный код. Например: http://myunsafesite.com?comment=<script>alert('i steal cookies')</script>

Хотя приведенный выше пример не относится к файлу журнала, это тот же принцип в файловой системе. Успешные эксплойты могут позволить злоумышленникам создавать новые файлы и выполнять код на веб-сервере.

Answer 2

Экранирование - это когда вы берете, например, CRLF (перевод строки в стиле Windows) и превращаете его в \ r \ n, которые являются двумя "экранированными" символами, которые вам понадобятся, \ t это символ табуляции и т. Д. их в форму, где они не «сделаны», но вы знаете, что они там были и могут быть возвращены в их первоначальную форму