Shell表单不验证
Shell 表单不验证
在 Shell 脚本中,表单验证是确保用户输入有效且安全的重要环节。若未正确设置,可能会导致命令注入、脚本执行失败等问题。本小节将为您介绍关于 Shell 表单验证的基本知识及如何避免一些常见问题。
基础知识
Shell 表单验证涉及以下几个核心概念:
- 正则表达式:正则表达式(Regular Expression)是一种描述文本模式的字符串匹配规则。在 Shell 脚本中,经常用于验证用户输入是否符合指定的格式。
- 变量:变量是存储和操作数据的地方。在 Shell 脚本中,可以使用
read命令读取用户输入,并将其存储到一个变量中。 - if 语句:if 语句是 Shell 脚本中用于执行条件判断的语法结构。通过 if 语句,可以实现对用户输入的验证。
- set -e:
set -e命令用于在脚本执行失败时,终止脚本的执行。常用于配合 if 语句,对用户输入进行错误处理。
避免常见问题
- 命令注入:应确保用户输入不会导致恶意命令被执行。使用
read命令读取用户输入,并将其输出到一个变量中,可有效避免直接将用户输入内容拼接成命令。 - 文件上传:在允许用户上传文件时,务必对文件类型、大小等进行限制。同时,确保服务器端有合适的访问控制策略。
- 密码明文:在存储用户密码时,应使用加密方式,避免明文密码泄露。使用诸如
crypt或bcrypt的密码加密算法,对用户密码进行安全地存储。 - 访问权限:确保访问控制策略足够严密,防止未经授权的访问。使用
chmod和chown等命令,对文件或目录的权限进行设置和修改。
总结
在 Shell 脚本中,正确进行表单验证至关重要。通过使用正则表达式、变量、if 语句等,可以有效地对用户输入进行判断和处理。同时,也要注意避免常见的命令注入、文件上传、密码明文等问题,以确保脚本的安全和稳定性。
相关·内容
1回答
我希望通过.sh 执行.sh脚本,并希望以用户名和密码的形式从表单中发送信息。
shell脚本使用./name.sh执行,然后请求用户输入,如下所示:
Enter your Username: xxxxxxxxx //<-- The Input you normally type in the terminal
然后将一个PHP变量传递到那里。
我该怎么做?
浏览 0提问于2017-01-10得票数 0
回答已采纳
2回答
我有一台无法使用预共享密钥和ssh的服务器--所有身份验证都是通过交互式提示进行的。
该服务器还为非根用户禁用了cron和at。
我希望能够在我的本地计算机上cron一个作业,该作业将在远程服务器上运行脚本以执行定期维护/报告。
我曾经尝试过expect,但我注意到,为了让它在正确的时间自动将密码输入到提示符中,它需要以明文形式存储。
有没有一种方法可以确保密码的安全,只要我输入一次密码,它就会在本地被打乱(就像passwd那样),然后我就不会把明文密码存储在脚本本身中?
浏览 0提问于2010-04-07得票数 0
回答已采纳
嗨,我正在使用makefile做大量的编译和远程工作。
在很多情况下,我需要为远程连接、VPN、代码上传等输入用户名和密码。
是否可以使用makefile自动键入凭据信息?
非常感谢!
浏览 3提问于2020-02-15得票数 0
回答已采纳
在我们古老的Classic ASP环境中,我们利用OWASP从请求对象获取密码,并对非字母数字字符进行加密。这是防止sql注入的第一道防线。我们使用其他方法来完全防止sql注入。
问题是,当我们收集数据以组合HTTP post消息并从用户输入中获取密码时,OWASP会将其发送出去。因此密码是不正确的。
例如:密码freddie$cougar变成freddie&36;cougar
我们最终所做的是假设一个50个字符的文本字段没有足够的空间来执行太多的sql注入,并更改了代码,因此我们没有OWASP输入密码。这感觉有点可怕。
他们是更好的方法吗?
代码是用vbScript编写的。
浏览 0提问于2010-09-04得票数 3
回答已采纳
2回答
我有一台Linux服务器(带有Linux内核3.6.10的Fedora18),上面运行着VSFTP和Apache,我的朋友有时会用它来托管文件。我正在尝试制作一个PHP表单,他们可以使用它来更改密码,而无需使用SSH或其他方式登录到实际的服务器。
我有一个表单,要求您输入用户名、当前密码、新密码和重新键入新密码,但我不知道该调用什么来验证用户名/密码组合,或者实际更改密码。
我最近开始熟悉Linux了,但以前没有用过shell_exec。环顾互联网,听起来我需要解析出/etc/shadow来验证密码,这并不难,但我不确定要对输入的密码使用什么加密来匹配shadow。
提前谢谢。
浏览 1提问于2013-07-03得票数 0
1回答
我需要逐行解析一个文件,并将其中的一个值传递给FreeBSD的sh中的2个命令(不能使用其他shell)。
我的计划是使用xargs和su:
whatever_outputs_values | xargs -I {} su `whoami` -c "cmd1 {}; cmd2 {}"
因为在FreeBSD中,对于同一个用户使用su不需要密码。这在终端中执行得很好,并产生正确的结果,尽管速度很慢。但是我必须在程序代码中运行这个命令,这个命令挂起。我99%肯定它挂起,因为由于我没有可见性的情况,SSH库导致它等待密码输入。因此,我正在寻找su whoami的替代方案,它保证不会等待
浏览 0提问于2022-11-07得票数 0
我有一个脚本,我们的L1团队的一名成员将运行在一个linux服务器(ssh‘’ed in - non )上,该服务器将接收他们的密码并通过嵌入式expect脚本(它最终会与我们的身份验证Kerberos )传递给kinit,以便运行一个就绪的业务检查。
一个考虑是使用getpass2 python,但这在内部是不可用的。通过shell脚本存在一个可能的解决方案,使用:
read -s -p "Password for $USER: " PASS
我读过这个博客。提交人声称
在提示符和shell执行之间,密码是明文的。
是否有必要采取措施来缓解这一状况?
我意识到密码在RAM中也
浏览 0提问于2018-04-04得票数 4
因此,最近我学习了如何正确地向数据库添加用户名和密码。我的数据库是usersys,存储用户信息的表名为userdb。该表有两列-用户名(主)、密码。
注册表单工作得很好,将用户输入的内容正确地输入到数据库中,并检查用户的用户名是否已经在数据库中。
说到这里,我在问是否有人可以帮我创建一个登录脚本。到目前为止,我得到的是:
$username = $_POST['username'];
$password = $_POST['password'];
$displayname = $_POST['username'];
$displayname =
浏览 0提问于2009-03-26得票数 8
4回答
我成功构建了我的第一个html/PHP表单,该表单使用邮件全局变量在多个页面之间传递变量,然后使用_POST ()函数将结果通过电子邮件发送给我。
我确信这个表单是非常不安全的,因为它现在很容易受到所有漏洞的攻击,我想知道如何修补漏洞,但我几乎是PHP的初学者。
你能推荐一些简单易学的保护PHP表单的教程吗?
浏览 0提问于2009-12-12得票数 2
在将代码放入脚本之前,我正在尝试交互式测试代码,并且想知道在脚本中是否有任何行为不同的地方?
浏览 0提问于2011-02-18得票数 1
回答已采纳
背景
我几年前创建的一个网站最近遭到攻击;剥削者成功地访问了我为客户端创建的PHP前端,该前端用于上传文件,他们还上传了一些PHP文件,其中包括基于PHP的文件管理器等。如果感兴趣的话,我可以发布每个上传的PHP文件的内容,但是问题当然是他们设法访问了客户端的前端。
这个站点从第一次创建以来就没有被更新过(它使用了旧的和不推荐的MySQL函数,也没有mysql_real_escape_string()来检查登录面板中的输入(我知道)),但是我不能完全确定他们是否通过SQL注入获得了访问。
vhost运行在Windows / Parallels Plesk上,我既没有SSH访问权限,也没有访问日
浏览 3提问于2015-06-23得票数 1
2回答
我在windows中使用putty。我使用IP:端口号登录到putty。我要做的是写一个脚本,它将打开另一个putty终端,并使用其用户名和密码登录到那里
目的:-我正在尝试使用脚本自动化我的工作,我有五个用户名和密码的用户和所有的终端应在putty打开等任务。请指引我往这个方向走。
我在ssh shell中运行我的脚本
我的代码:- putty.exe -pw "password" username@server.com hello.sh ok-1
我只有putty的可执行文件,我没有安装putty,只是从另一个machine.Its复制粘贴可执行文件,手动工作正常。
浏览 1提问于2012-10-11得票数 1
回答已采纳
2回答
Shell脚本将成为根
、、、、
我们怎样才能写一个shell脚本成为根呢?也就是说,我不想在提示时输入密码,它应该在脚本本身内。我试着做,但没有做so.Is的可能,如果是,请解释。
浏览 0提问于2012-10-19得票数 4
回答已采纳
ssh或scp命令没有/接受密码参数。否则,我可以将密码保存在shell变量中,并可能删除输入密码提示符。如果我在shell脚本中编写scp命令,它会提示用户输入密码。我的脚本中有多个ssh和scp命令,我不希望用户每次输入密码。我希望在开始时(通过询问密码一次)将密码保存在shell变量中,然后将其用于每个ssh或scp。
我在上读到了“公钥识别”的文章。这与我正在寻找的解决方案有关吗?
更新
我在中读到了为什么在命令行上指定密码是不安全的。使用expect是否也存储密码和世界可见(使用ps aux)?是使用expect的安全性问题吗?
进一步解释
为了进一步说明这一点,我正在编写这个she
浏览 11提问于2011-01-04得票数 12
我正在使用pyzabbix模块来使用Zabbix API,但是有没有办法不用在Python脚本中给出用户名和密码就能登录Zabbix API呢?就像任何服务于此目的的API令牌一样。
浏览 4提问于2019-12-30得票数 0
3回答
使用phpMyAdmin,我创建了一个MySQL数据库,用于使用一个简单的表单,用户在其中输入文本并将其保存到一个表中。
我在保安方面没有很大的经验,所以我想确保我做得对。
基本上,为了用代码访问数据库,我创建了一个只有特权才能插入数据库的用户。就这样。我在代码中与该用户登录以插入数据。
但是,在我用看似纯文本登录的代码中,我很肯定这是个坏主意。我使用new mysqli(...)登录,只需以字符串形式提供用户和密码。这是纯文本和安全问题吗?如果是的话,我应该怎么做呢?
我在存储用户的电子邮件地址。我逃避数据以防止注入攻击,但是否需要像存储密码一样存储哈希呢?
谢谢,我只是想确保我处理的安全方
浏览 4提问于2013-08-18得票数 0
回答已采纳
5回答
我是shellscripting的新手(在Linux世界中也不是很熟悉),我正在尝试使用给定的shellscript自动登录到sftp服务器。这就是我所走的路
#!/bin/bash
HOST='somehost.com'
USER='someusername'
PASSWD='somepass'
sftp $USER@$HOST
这就是我遇到麻烦的地方。此时,系统将提示我输入密码。那么,如何让脚本在提示输入密码时自动回复密码呢?我还尝试使用sftp命令传递密码,但没有成功。有人能帮我解决这个问题吗?
浏览 5提问于2011-04-15得票数 2
2回答
我在这里处理遗留代码。有一个带有用户名/密码输入的HTML表单。
然后将表单发送到服务器(使用SSL),并将密码与数据库值进行比较。
问:在将密码发送到服务器时,是否有一种“隐藏”(加密)的方法?
即使我把散列密码和唯一的用户盐存储在数据库里,
用户发送密码时,密码处于危险状态。
专业人士是如何做到的?
**编辑:我计划用一个唯一的盐将密码存储为散列。
如果有人获得密码(如果SSL被泄露),这是否意味着黑客可以毫无问题地获得访问权限?
浏览 3提问于2014-06-09得票数 0
回答已采纳
2回答
我想知道是否考虑将用户输入编码到数据库中是一种良好做法。
或者可以不对用户输入进行编码。
目前,我的方法是在输入数据库时对其进行编码,并使用Html.DisplayFor显示它。
浏览 3提问于2014-10-18得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
