>> > Если речь идет о безопасности, то начинать надо с выкидывания sh. >> Вызов внешней утилы не является дырой в безопастности. >> По крайней мере речь _сейчас_ не об этом, контект не тот.
> Дырой в безопасности является строковая подстановка с неявным > репарсингом после неё. Чуть автор скрипта на кавычках поэкономил, и > привет - arbitrary command execution. Ах вот оно в чем дело. Тут согласен. Но ведь это практически только тогда, когда eval и прочие ssh/rsh. И эти проблемы есть практически в любом скриптовом языке. Ни в tcl ни в perl разыменование переменной не смотрит, пуста строка, или нет. И проблема, как следствие та же. >> > А Java Script безопасен только в песочнице. Но в песочнице он >> > бесполезен. >> Расшифруй. >> >> Я бы вот с удовольствием заменил awk java script-ом, если бы к нему >> добавить awk-шную data-driven логику и нормальные (POSIX compatible) > Какие проблемы? Придумай объектную модель, реализующую эту логику и > вперед. Проблем, в принципе, никаких. Лениво :-) Пока с другими игрушками не наигрался. А по работе не особо надо. >> регулярные выражения. > Э, а разве там они ненормальные? Они там по-моему как бы не pcre. Это дело надо уточнить. В зависимостях на построение нет ни pcre, ни какой бы то ни было другой внешней библиотеки. Похоже, как всегда самопал. Надо посмотреть, что полагается по ECMA-262. -- Best regards, Aleksey Cheusov. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
