Perlのglobはもうshellを呼ばない
もう10年以上前の話だが、メモ。
IPAのセキュア・プログラミング講座にある4-2. Perl の危険な関数には以下の記載がある。
便利な<> 構文,glob関数であるが,実は内部的にシェルを呼び出している。そのためリスト7の1行目のような文字列を渡した場合,パスワードファイルの内容をメールで送信できてしまう。
が、これはかなーり古いPerlでの話で、pre-5.6.0のみに当て嵌まる話。現在はFile::GlobというXSで記述されたモジュールがよしなにやってくれており、cshを内部でforkすることはない。
このあたりはperldeltaに詳しい。
https://metacpan.org/pod/release/GSAR/perl-5.6.0/pod/perldelta.pod
この記述、加筆修正されないんだろうか…