0 #Python - Input Güvenliği

Python'da kullanıcıdan veri alınırken input() ve raw_input() fonksiyonlarını kullanıyoruz.raw_input() fonksiyonu kullanıcıdan aldığı verileri karakter dizisi olarak saklarken input() fonksiyonu dosya silme, görüntüleme, kod çalıştırma işlemleri yapılmasına olanak sağlıyor.O yüzden input() fonksiyonu yerine raw_input() kullanıyoruz.


Örnek senaryo;

# -*- coding: utf-8 -*-
import datetime

ad = "merhaba adin nedir ? : "
giris = "dogum yilini gir : "

isim = raw_input(ad)
dogumt = input(giris)

print "\n"
print "##########################"
print "ismin : " , isim
print "dogum yılın : " , dogumt
print "##########################"
yil = int(datetime.datetime.now().strftime("%Y"))
print "\n"
yashsp = yil - dogumt
print "Tebrikler" , isim , "tam olarak" , yashsp , "yasindasin :)"

Kullanıcıdan doğum tarihini ve ismini girmesini isteyen buna karşılık kullanıcının yaşını hesaplan basit bir program.input() ile doğum yılını, raw_input() ile isim alıyoruz.

Zararlı kod olarak __import__('os').system('dir') kodunu isim & yıl alanına giriyorum.raw_input() kodun çalışmasına izin vermezken input() fonksiyonu zararlı kodu çalıştırarak klasör içeriğini listeliyor.