[Python-de] string.strip

Bernhard Herzog bh at intevation.de
Fri May 3 22:04:55 EDT 2002


"Dr. Bernd Freistedt" <bernd at bfrei.net> writes:

>   tocrypt="mkpasswd %s x" % form['m_passwd'].value
>   cryptpasswd=posix.popen(tocrypt)
>   crp=cryptpasswd.readlines()
>   crpa=string.strip(crp[0])

Das ließe sich auf

crpa = crypt.crypt(form['m_passwd'].value, "xy")

reduzieren (import crypt vorausgesetzt)

Übrigens: form['m_passwd'].value sieht aus wie ein CGI parameter, und
den ungeprüft und ungequoted an einen Shellbefehl zu übergeben ist ein
ernstes Sicherheitsloch. Der Besucher der Webseite kann damit beliebige
Befehle auf dem Serverrechner ausführen. Mit dem crypt modul ist das
kein Problem.

  Bernhard

-- 
Intevation GmbH                                 http://intevation.de/
Sketch                                 http://sketch.sourceforge.net/
MapIt!                                           http://www.mapit.de/



More information about the Python-de mailing list