Dit is de opdracht haserl die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
haserl - Een cgi-scriptprogramma voor embedded omgevingen
KORTE INHOUD
#!/usr/bin/haserl [--schil=padspecificatie] [--upload-dir=afwijkend] [--upload-handler=handler]
[--uploadlimiet=begrenzing] [--accepteer alles] [--accepteer-geen] [--stil] [--foutopsporing]
[ tekst ] [ <% shellscript %> ] [ tekst ] ...
PRODUCTBESCHRIJVING
Haserl is een kleine cgi-wrapper die cgi-programmering in 'PHP'-stijl mogelijk maakt, maar die een UNIX gebruikt
bash-achtige shell of Lua als programmeertaal. Het is erg klein, dus het kan worden gebruikt!
in embedded omgevingen, of waar iets als PHP te groot is.
Het combineert drie functies in een kleine cgi-engine:
Het parseert POST- en GET-verzoeken en plaatst formulierelementen als naam=waarde-paren in de
omgeving waarin het CGI-script kan worden gebruikt. Dit is een beetje zoals de uncgi wikkel.
Het opent een shell en vertaalt alle tekst in afdrukbare instructies. Alle tekst
binnen <% ... %> worden constructies woordelijk doorgegeven aan de shell. Dit is een beetje
zoals schrijven PHP scripts.
Het kan optioneel worden geïnstalleerd om de machtigingen naar de eigenaar van het script te laten vallen,
waardoor het een aantal van de beveiligingsfuncties van suexec or cgiwrapper.
OPTIES OVERZICHT
Dit is een samenvatting van de opdrachtregelopties. Zie a.u.b. de OPTIES sectie onder de
lange optienaam voor een volledige beschrijving.
-a --accepteer-alles
-n --accepteer-geen
-d --debuggen
-s, --shell
-S, --stil
-U, --upload-dir
-u, --uploadlimiet
-H, --upload-handler
OPTIES
--accepteer alles
Het programma accepteert normaal gesproken alleen POST-gegevens als de REQUEST_METHOD POST is en
accepteert alleen gegevens op de URL-gegevens wanneer de REQUEST_METHOD GET is. Deze optie
staat toe dat zowel POST- als URL-gegevens worden geaccepteerd, ongeacht de REQUEST_METHOD.
Wanneer deze optie is ingesteld, heeft de REQUEST_METHOD voorrang (bijv. als de methode
is POST, FORM_variabelen worden genomen uit COOKIE-gegevens, GET-gegevens en POST-gegevens, in
die bestelling. Als de methode GET is, worden FORM_variabelen genomen uit COOKIE-gegevens, POST
data en GET data.) De standaard is om niet alle invoermethoden te accepteren - alleen de
COOKIE-gegevens en de REQUEST_METHOD.
--accepteer-geen
Indien opgegeven, zal haserl de standaardinvoer niet als http-inhoud parseren voordat deze wordt verwerkt
het script. Dit is handig als u een haserl-script aanroept vanuit een ander haserl-script.
--debuggen
In plaats van het script uit te voeren, drukt u het script af dat zou worden uitgevoerd. Indien
de omgevingsvariabele 'REQUEST_METHOD' is ingesteld, de gegevens worden verzonden met de
platte/tekst inhoudstype. Anders wordt het shellscript letterlijk afgedrukt.
--schil=padspecificatie
Specificeer een alternatieve bash-achtige shell om te gebruiken. Standaard ingesteld op "/ Bin / sh"
Gebruik niet de --shell= . om shell-parameters op te nemen/ Bin / sh formaat. Gebruik in plaats daarvan de
alternatief formaat zonder de "=", zoals in --shell "/ bin / bash --norc". Zorg ervoor dat u
citeer de optiereeks om speciale tekens te beschermen.
Indien gecompileerd met Lua-bibliotheken, wordt de tekenreeks "lua" gebruikt om een geïntegreerde
Lua vm. Deze tekenreeks is hoofdlettergevoelig. Voorbeeld: --schil=maan
Een alternatief is "luac". Hierdoor worden de haserl- en lua-parsers uitgeschakeld,
en het script wordt verondersteld een voorgecompileerde lua chunk te zijn. Zien LUAC hieronder voor meer
informatie.
--stil
Haserl drukt normaal gesproken een informatief bericht af over foutcondities. Dit
onderdrukt de foutmelding, zodat het gebruik van haserl niet wordt geadverteerd.
--upload-dir=afwijkend
Standaard ingesteld op "/ tmp". Alle geüploade bestanden worden gemaakt met een tijdelijke bestandsnaam hierin
directory HASERL_xxx_pad bevat de naam van het tijdelijke bestand. FORM_xxx_naam
bevat de originele naam van het bestand, zoals opgegeven door de klant.
--upload-handler=padspecificatie
Indien gespecificeerd, worden bestandsuploads afgehandeld door deze handler, in plaats van geschreven naar
tijdelijke bestanden. De volledige padspecificatie moet worden opgegeven (het PATH wordt niet doorzocht), en
de upload-handler krijgt één opdrachtregelparameter: De naam van de FIFO on
waarnaar het uploadbestand wordt verzonden. Bovendien kan de handler 3 . ontvangen
omgevingsvariabelen: CONTENT_TYPE, BESTANDSNAAM en NAAM. Deze weerspiegelen de MIME
content-disposition headers voor de inhoud. Haserl zal de handler voor elk afsplitsen
bestand geüpload, en zal de inhoud van het uploadbestand naar de opgegeven FIFO sturen.
Haserl blokkeert dan totdat de handler stopt. Deze methode is voor experts
alleen.
--uploadlimiet=begrenzing
Sta een mime-gecodeerd bestand toe tot begrenzing KB te uploaden. De standaard is 0KB (niet
uploaden toegestaan). Merk op dat mime-codering 33% toevoegt aan de grootte van de gegevens.
Overzicht OF OPERATIE
Over het algemeen stelt de webserver verschillende omgevingsvariabelen in en gebruikt vervolgens vork or
een andere methode om het CGI-script uit te voeren. Als het script de gebruikt haserl tolk, de
het volgende gebeurt:
If haserl is suid root geïnstalleerd, dan wordt uid/gid ingesteld op de eigenaar van het script.
Er wordt gescand op de omgeving HTTP_COOKIE, die mogelijk is ingesteld door het web
server. Als deze bestaat, wordt de geparseerde inhoud in de lokale omgeving geplaatst.
Er wordt gescand op de omgeving REQUEST_METHOD, die is ingesteld door de webserver.
Op basis van de aanvraagmethode wordt standaardinvoer gelezen en geparseerd. de ontleed
inhoud wordt in de lokale omgeving geplaatst.
Het script is tokenized, ontleden haserl codeblokken van onbewerkte tekst. Ruwe tekst is
omgezet in "echo"-instructies en vervolgens worden alle tokens naar de sub-shell verzonden.
haserl vorken en een subschaal (meestal / Bin / sh) is begonnen.
Alle tokens worden verzonden naar de STDIN van de sub-shell, met een trailing afrit opdracht.
Wanneer de sub-shell eindigt, de haserl tolk voert eindschoonmaak uit en
eindigt dan.
CLIËNT KANT INVOER
De haserl interpreter decodeert gegevens die zijn verzonden via de HTTP_COOKIE-omgevingsvariabele, en
de GET- of POST-methode van de client en sla ze op als omgevingsvariabelen die kunnen
toegankelijk zijn via haserl. De naam van de variabele volgt de naam in de bron,
behalve dat een voorvoegsel ( FORMULIER_) wordt toegevoegd. Als de client bijvoorbeeld "foo=bar" verzendt,
de omgevingsvariabele is FORM_foo=bars.
Voor de HTTP_COOKIE-methode worden variabelen ook opgeslagen met het voorvoegsel ( COOKIE_) toegevoegd.
Als HTTP_COOKIE bijvoorbeeld "foo=bar" bevat, is de omgevingsvariabele
COOKIE_foo=bars.
Voor de GET-methode worden gegevens die in de vorm %xx worden verzonden, vertaald in de tekens die ze
vertegenwoordigen, en variabelen worden ook opgeslagen met het voorvoegsel ( GET_) toegevoegd. Bijvoorbeeld, als
QUERY_STRING bevat "foo=bar", de omgevingsvariabele is GET_foo=bars.
Voor de POST-methode worden variabelen ook opgeslagen met het voorvoegsel ( POST_) toegevoegd. Voor
als de poststroom bijvoorbeeld "foo=bar" bevat, is de omgevingsvariabele POST_foo=bars.
Ook voor de POST-methode, als de gegevens worden verzonden met multipart / form-data codering, de
gegevens worden automatisch gedecodeerd. Dit wordt meestal gebruikt wanneer bestanden worden geüpload vanaf een web
klant gebruikt .
NOTITIE Wanneer een bestand wordt geüpload naar de webserver, wordt het opgeslagen in de upload-map
directory. FORM_variabele_naam= bevat de naam van het geüploade bestand (as
gespecificeerd door de klant.) HASERL_variabele_pad= bevat de naam van het bestand in
upload-map die de geüploade inhoud bevat. Om te voorkomen dat kwaadwillende clients
opvullen upload-map op uw webserver zijn bestandsuploads alleen toegestaan wanneer de
--uploadlimiet optie wordt gebruikt om aan te geven hoe groot een bestand kan worden geüpload. Haserl
verwijdert automatisch het tijdelijke bestand wanneer het script is voltooid. om de te houden
bestand, verplaats het of hernoem het ergens in het script.
Merk op dat de bestandsnaam is opgeslagen in HASERL_variabel_pad Dit komt omdat de FORM_,
GET_ en POST_ variabelen kunnen worden gewijzigd door de client, en een kwaadwillende client kan
stel een tweede variabele in met de naam variabele_pad=/ Etc / passwd. Eerdere versies
heeft de pathspec niet opgeslagen in HASERL naamruimte. Naar onderhouden achterwaarts
compatibiliteit, de naam of de tijdelijk filet is ook opgeslagen in FORM_variabele= en
POST_variabele=. Deze is beschouwd onveilig en moet niet be gebruikt.
Als de klant gegevens verzendt zowel door POST- en GET-methoden, dan haserl zal alleen de . ontleden
gegevens die overeenkomen met de REQUEST_METHOD variabele ingesteld door de webserver, tenzij de
accepteer alles optie is ingesteld. Bijvoorbeeld een formulier dat wordt aangeroepen via de POST-methode, maar met a
URI van some.cgi?foo=bar&otherdata=something zal de POST-gegevens hebben geparseerd, en de foo
en andere gegevens variabelen worden genegeerd.
Als de webserver een definieert HTTP_COOKIE omgevingsvariabele, worden de cookiegegevens geparseerd.
Cookiegegevens zijn geparseerd vaardigheden de GET- of POST-gegevens, dus in het geval van twee variabelen van de
dezelfde naam, overschrijven de GET- of POST-gegevens de cookie-informatie.
Wanneer meerdere instanties van dezelfde variabele vanuit verschillende bronnen worden verzonden, wordt de
FORM_variabele wordt ingesteld volgens de volgorde waarin variabelen worden verwerkt.
HTTP_COOKIE wordt altijd eerst verwerkt, gevolgd door de REQUEST_METHOD. Als de accept-all
optie is ingesteld, wordt eerst HTTP_COOKIE verwerkt, gevolgd door de methode niet
gespecificeerd door REQUEST_METHOD, gevolgd door de REQUEST_METHOD. Het laatste exemplaar van de
variabele wordt gebruikt om FORM_variabele in te stellen. Merk op dat de variabelen ook afzonderlijk zijn
creëert als COOKIE_variabele, GET_variable en POST_variable. Dit maakt het gebruik van
overlappende namen van elke bron.
Wanneer meerdere exemplaren van dezelfde variabele vanuit dezelfde bron worden verzonden, wordt alleen de laatste
een is gered. Om alle kopieën te behouden (bijvoorbeeld voor meervoudige selecties), voegt u "[]" toe aan het einde
van de variabelenaam. Alle resultaten worden geretourneerd, gescheiden door nieuwe regels. Bijvoorbeeld,
host=Enoch&host=Esther&host=Joshua resulteert in "FORM_host=Joshua".
host[]=Enoch&host[]Esther&host[]=Joshua resulteert in "FORM_host=Enoch\nEsther\nJoshua"
TAAL
De volgende taalstructuren worden herkend door: haserl.
VLUCHTEN
<% [shellscript] %>
Alles omsloten door <% %> tags wordt naar de sub-shell gestuurd voor uitvoering. De tekst
wordt letterlijk verzonden.
BEVATTEN
<%in padspecificatie %>
Voeg een ander bestand woordelijk toe aan dit script. Het bestand wordt opgenomen wanneer het script
wordt in eerste instantie ontleed.
EVAL
<%= uitdrukking %>
print de shell-expressie. Syntactische suiker voor "echo expr".
COMMENTAAR
<%# opmerking %>
Commentaar blok. Alles in een commentaarblok wordt niet geparseerd. Opmerkingen kunnen worden genest
en kan andere haserl-elementen bevatten.
Voorbeelden
WAARSCHUWING
De onderstaande voorbeelden zijn vereenvoudigd om te laten zien hoe te gebruiken haserl. Je zou moeten zijn
vertrouwd zijn met de basisbeveiliging van webscripts voordat u deze gebruikt haserl (of welk script dan ook)
taal) in een productieomgeving.
Eenvoudig commando
#!/usr/local/bin/haserl
inhoudstype: tekst/plat
<%# Dit is een voorbeeldscript "env" %>
<% env %>
Drukt de resultaten van de . af env commando als een mime-type "text/plain" document. Dit is
de haserl versie van de gemeenschappelijke printenv cgi.
lus Met dynamisch uitgang
#!/usr/local/bin/haserl
Inhoudstype: tekst/html
<% voor a in Rood Blauw Geel Cyaan; doe %>
"><% echo -n "$a" %>
<% gedaan %>
Stuurt een mime-type "text/html" document naar de klant, met een html-tabel van with
elementen gelabeld met de achtergrondkleur.
Te gebruiken Shell gedefinieerd functies.
#!/usr/local/bin/haserl
inhoudstype: tekst/html
<% # definieer een gebruikersfunctie
tabel_element() {
echo " $1 "
}
%>
<% voor a in Rood Blauw Geel Cyaan; doe %>
<% table_element $a %>
<% gedaan %>
Hetzelfde als hierboven, maar gebruikt een shell-functie in plaats van embedded html.
Zelf Verwijzen CGI Met a formulier
#!/usr/local/bin/haserl
inhoudstype: tekst/html
Voorbeeldformulier
" method="GET">
<% # Doe wat basisvalidatie van FORM_textfield
# Om veelvoorkomende webaanvallen te voorkomen
FORM_textfield=$( echo "$FORM_textfield" | sed "s/[^A-Za-z0-9 ]//g")
%>
<input type=text name=textfield
Value="<% echo -n "$FORM_textfield" | tr az AZ %>" cols=20>
Drukt een formulier af. Als de klant tekst in het formulier invoert, wordt de CGI opnieuw geladen (gedefinieerd
by $SCRIPT_NAME) en het tekstveld is opgeschoond om webaanvallen te voorkomen, dan is de
formulier wordt opnieuw weergegeven met de tekst die de gebruiker heeft ingevoerd. De tekst is in hoofdletters.
Uploaden a Dien in
#!/usr/local/bin/haserl --upload-limit=4096 --upload-dir=/ tmp
inhoudstype: tekst/html
" method=POST enctype="multipart/form-data" >
<% if test -n "$HASERL_uploadfile_path"; dan %>
Je hebt een bestand geüpload met de naam <% echo -n $FORM_uploadfile_name %> , en het was
. tijdelijk opgeslagen op de server als . De
bestand was <% cat $HASERL_uploadfile_path | wc -c %> bytes lang.
<% rm -f $HASERL_uploadfile_path %> Maak je geen zorgen, het bestand is zojuist verwijderd
van de webserver.
<% else %>
Je hebt nog geen bestand geüpload.
<% fi %>
Geeft een formulier weer waarmee bestanden kunnen worden geüpload. Dit wordt bereikt door gebruik te maken van de
--uploadlimiet en door het formulier in te stellen entype naar meerdelige/formuliergegevens. Indien de
client verzendt een bestand, dan wordt wat informatie over het bestand afgedrukt, en dan
verwijderd. Anders geeft het formulier aan dat de klant geen bestand heeft geüpload.
RFC-2616 Overeenstemming
#!/usr/local/bin/haserl
<% echo -en "content-type: text/html\r\n\r\n" %>
...
Om volledig te voldoen aan de HTTP-specificatie, moeten headers worden beëindigd met:
CR+LF, in plaats van alleen de normale Unix LF-lijnafsluiting. De bovenstaande syntaxis kan
worden gebruikt om RFC 2616-compatibele headers te produceren.
MILIEU
Naast de omgevingsvariabelen die zijn overgenomen van de webserver, is het volgende:
omgevingsvariabelen worden altijd gedefinieerd bij het opstarten:
HASERLVER
haserl versie - een informatieve tag.
SESSIONID
Een hexadecimale tag die uniek is voor de levensduur van de CGI (deze wordt gegenereerd wanneer de
cgi begint; en verandert niet totdat een andere POST- of GET-query wordt gegenereerd.)
HASERL_ACCEPT_ALL
Indien de --accepteer alles vlag werd gezet, -1Anders 0.
HASERL_SHELL
De naam van de shell haserl begon sub-shell-opdrachten uit te voeren.
HASERL_UPLOAD_DIR
De directory die haserl zal gebruiken om geüploade bestanden op te slaan.
HASERL_UPLOAD_LIMIT
Het aantal KB dat van de client naar de server mag worden verzonden.
Deze variabelen kunnen binnen het script worden gewijzigd of overschreven, hoewel de variabelen
beginnend met "HASERL_" zijn alleen informatief en hebben geen invloed op het lopende script.
VEILIGHEID KENMERKEN
Er is veel literatuur over de gevaren van het gebruik van shell om CGI-scripts te programmeren.
haserl bevat sommige beveiligingen om dit risico te beperken.
Milieu Variabelen
De code om de omgevingsvariabelen in te vullen valt buiten het bereik van de sub-
schelp. Het ontleedt op de karakters? en &, dus het is moeilijker voor een klant om te doen
"injectie" aanvallen. Als voorbeeld, foo.cgi?a=test;kat / Etc / passwd kan resulteren in
een variabele waaraan de waarde wordt toegewezen proef en dan de resultaten van het hardlopen hoe
/ Etc / passwd naar de opdrachtgever wordt gestuurd. Haserl zal de variabele de complete toewijzen
waarde: test;kat / Etc / passwd
Het is veilig om deze "gevaarlijke" variabele in shellscripts te gebruiken door deze in te sluiten in
citaten; hoewel validatie moet worden gedaan op alle invoervelden.
Privilege dropping
Indien geïnstalleerd als een suid-script, haserl zal zijn uid/gid instellen op die van de eigenaar van
het script. Dit kan worden gebruikt om een set CGI-scripts te hebben met verschillende
voorrecht. Als de haserl binary niet suid is geïnstalleerd, dan zullen de CGI-scripts dat wel doen
uitvoeren met de uid/gid van de webserver.
Verwerpen commando lijn parameters gegeven on de URL
Als de URL geen ongecodeerde "=" bevat, dan vermeldt de CGI-specificatie de opties
moeten worden gebruikt als opdrachtregelparameters voor het programma. Bijvoorbeeld, volgens
volgens de CGI-specificatie: http://192.168.0.1/test.cgi?--upload-limiet%3d2000&foo%3dbar
Moet de uploadlimiet instellen op 2000KB naast het instellen van "Foo=bar". Beschermen
tegen klanten die hun eigen uploads inschakelen, haserl wijst alle opdrachtregelopties af
voorbij argv[2]. Indien aangeroepen als een #! script, de interpreter is argv[0], all
opdrachtregelopties vermeld in de #! lijn worden gecombineerd tot argv[1], en de
scriptnaam is argv[2].
LUA
Indien gecompileerd met lua-ondersteuning, --shell=lua zal in plaats daarvan lua inschakelen als de scripttaal
van bash-shell. De omgevingsvariabelen (SCRIPT_NAME, SERVER_NAME, etc) worden geplaatst in
de ENV-tabel en de formuliervariabelen worden in de FORM-tabel geplaatst. Bijvoorbeeld de
zelfverwijzend formulier hierboven kan als volgt worden geschreven:
#!/usr/local/bin/haserl --shell=lua
inhoudstype: tekst/html
Voorbeeldformulier
" method="GET">
<% # Doe wat basisvalidatie van FORM_textfield
# Om veelvoorkomende webaanvallen te voorkomen
FORM.textfield=string.gsub(FORM.textfield, "[^%a%d]", "")
%>
<input type=text name=textfield
Value="<% io.write (string.upper(FORM.textfield)) %>" cols=20>
De operator <%= is syntactische suiker voor io.schrijven (tostring( ... )) Dus bijvoorbeeld de
Waarde = regel hierboven zou kunnen worden geschreven: Waarde = "<%= string.upper(FORM.tekstveld) %>" cols=20>
haserl lua-scripts kunnen de functie gebruiken haserl.laadbestand(bestandsnaam) een doel verwerken
script als een haserl (lua) script. De functie retourneert een soort "functie".
Bijvoorbeeld
bar.lsp
<% io.write ("Hallo wereld") %>
Uw bericht is <%= gvar %>
-- Einde van bestand opnemen --
foo.haserl
#!/usr/local/bin/haserl --shell=lua
<% m = haserl.loadfile("bar.lsp")
gvar = "Uitvoeren als m()"
m ()
gvar = "Laden en uitvoeren in één stap"
haserl.loadfile("bar.lsp")()
%>
Hardlopen foo zal produceren:
Hallo Wereld
Uw bericht is Uitvoeren als m()
-- Einde van bestand opnemen --
Hallo Wereld
Uw bericht is Laden en uitvoeren in één stap
-- Einde van bestand opnemen --
Deze functie maakt het mogelijk om geneste haserl-serverpagina's - paginafragmenten
die worden verwerkt door de haserl-tokenizer.
LUAC
De luac "shell" is een voorgecompileerde lua chunk, dus interactief bewerken en testen van scripts
is niet mogelijk. Haserl kan echter alleen worden gecompileerd met luac-ondersteuning, en dit maakt het mogelijk:
lua-ondersteuning, zelfs in een kleine geheugenomgeving. Alle bovenstaande haserl lua-functies zijn:
nog steeds beschikbaar. (Als luac de enige shell is die in haserl is ingebouwd, is het bestand haserl.load
uitgeschakeld, omdat de haserl-parser niet is gecompileerd.)
Hier is een voorbeeld van een triviaal script, omgezet in een luac cgi-script:
Gezien het bestand test.lua:
print ("Content-Type: text/plain0)
print ("Uw UUID voor deze run is: " .. ENV.SESSIONID)
Het kan worden gecompileerd met luac:
luac -o test.luac -s test.lua
En dan is de haserl-header eraan toegevoegd:
echo '#!/usr/bin/haserl --shell=luac' | kat - test.luac >luac.cgi
Als alternatief is het mogelijk om een hele website te ontwikkelen met behulp van de standaard lua shell,
en laat haserl zelf de scripts voor de luac-compiler voorbewerken als onderdeel van a
proces bouwen. Gebruik hiervoor --shell=lua en ontwikkel de website. Wanneer klaar om te bouwen
de runtime-omgeving, voeg de --debug-regel toe aan uw lua-scripts en voer ze uit
de resultaten naar .lua-bronbestanden. Bijvoorbeeld:
Gezien het haserl-script test.cgi:
#!/usr/bin/haserl --shell=lua --debug
Inhoudstype: tekst/plat
Uw UUID voor deze run is <%= ENV.SESSIONID %>
Precompileer, compileer en voeg de haserl luac-header toe:
./test.cgi > test.lua
luac -s -o test.luac test.lua
echo '#!/usr/bin/haserl --shell=luac' | kat - test.luac >luac.cgi
Haserl online gebruiken met onworks.net-services
