18.2.6 セキュリティへの配慮

重要なルールが一つあります: ( 関数 os.system() または os.popen() 、またはその他の同様の機能によって ) 外部プログラムを呼び出すなら、クライアントから受信した任意の 文字列をシェルに渡していないことをよく確かめてください。 これはよく知られているセキュリティホールであり、これによって Web のどこかにいる悪賢いハッカーが、だまされやすい CGI スクリプトに任意の シェルコマンドを実行させてしまえます。URL の一部や フィールド名でさえも信用してはいけません。CGI へのリクエストは あなたの作ったフォームから送信されるとは限らないからです!

安全な方法をとるために、フォームから入力された文字をシェルに 渡す場合、文字列に入っているのが英数文字、ダッシュ、アンダースコア、 およびピリオドだけかどうかを確認してください。

ご意見やご指摘をお寄せになりたい方は、 このドキュメントについて... をご覧ください。