我一直在编写本地运行的python脚本。我现在想通过使用这些python脚本和通过webhosting提供在线服务,我可以在cgi-bin中运行python。在cgi-bin中运行python的安全防范措施
python脚本从用户填入的html表单中获取输入,拥有凭证并与本地数据库连接,使用python库计算内容并将结果作为HTML发送出来。
我想知道的是我应该采取的安全防范措施。这里是我的担心:
- 什么是通过网络调用脚本的正确文件权限? 755?
- 我正在接受用户输入。我如何保证它被消毒?
- 我有脚本中的数据库的用户/通行证。如何防止脚本被下载并看到代码?
- 我可以在文件旁边安装其他库吗?我还必须担心这些/中的安全吗?我是否将他们的权限设置为700? 744?
- 任何其他我不知道的漏洞?
“我在脚本中拥有数据库的用户/通行证。”猛击。你不应该这样做。期。现在停下来。 – 2010-09-13 19:53:43
@ S.Lott你应该去问几乎所有关于将python连接到数据库的介绍性教程,以更改它们的示例。 – greye 2010-09-14 00:16:40
教程不是生产就绪的代码。它会混淆这个例子以显示正确的数据库证书处理。您可能想要实际阅读**数据库**文档,以获得更好的方法来保留不会在CGI脚本中公开的凭据。 – 2010-09-14 00:58:53