まつもと ゆきひろです．

In message "[ruby-list:2441] CGI sequrity"
    on 97/03/27, GOTO Kentaro <gotoken / math.hokudai.ac.jp> writes:
|後藤です. 
|
|cgi-lib.rb を使わせてもらってますが, 
|CGI に GET なり POST なりで FORM の値をもらってからの
|取り扱いでセキュリティ上絶対安全と思われる作法というのは
|もう見つかってるんでしょうか?

perlのtaintのような機能のこと? (まだ)ないです．本当に必要な
のか悩ましいですし，拡張モジュールを使えばいずれにせよ厳密な
チェックは出来ないですし．

現状ではCGIを書く人が自分で外から来た文字列をもとに

  * evalしない
  * require/loadしない
  * openしない
  * File操作しない(chmodとか)

ように気をつけるしかないですね．CでCGIを書くのと一緒ですね．
safe.rbというものを作りかけましたが，穴だらけで没になりまし
た．次回リリースからは付属しなくなります(たぶん)．

                                まつもと ゆきひろ /:|)