limitusus’s diary

主に技術のことを書きます

Perlのglobはもうshellを呼ばない

もう10年以上前の話だが、メモ。

IPAのセキュア・プログラミング講座にある4-2. Perl の危険な関数には以下の記載がある。

便利な<> 構文,glob関数であるが,実は内部的にシェルを呼び出している。そのためリスト7の1行目のような文字列を渡した場合,パスワードファイルの内容をメールで送信できてしまう。

が、これはかなーり古いPerlでの話で、pre-5.6.0のみに当て嵌まる話。現在はFile::GlobというXSで記述されたモジュールがよしなにやってくれており、cshを内部でforkすることはない。

このあたりはperldeltaに詳しい。
https://metacpan.org/pod/release/GSAR/perl-5.6.0/pod/perldelta.pod

この記述、加筆修正されないんだろうか…