taint для имен файлов

Pavel Titov 01.02.2004 14:25

А вот интересно, почему parser не предусматривает встроенной возможности отлавливать строки вроде "../auto.p", если они передаются из формы или базы в ^file::load (например)? Пример:

$fl[^file::load[$form:filename]]

Можно, конечно делать как-то вот так:

$fl[^file::load[_$form:filename]]

Но это уже немного не то получается :-)

Есть ^taint[file-spec], но вот две точки ("..") он как раз почему-то и не воспринимает.

Аналогично с ^file::exec и символом ";".

Я решил эту проблему проверяя нужные переменные вначале auto.p и в случае обнаружения "подозрительных" символов выдачей ^throw. Тем не менее, нет ли какого-либо более элегантного решения?

---