|
Título: Validar variables de entorno Publicado por: carlitos.dll en 13 Mayo 2008, 06:17 am Tengo la siguiente pregunta:
En batch para windows ¿cómo puedo validar las variables de entorno? Ejemplo: Código: @echo off Si cuando pide que ingrese un nombre, ingreso lo siguiente: juan &echo loquesea >>C:\hola.txt y al imprimir mediante echo la variable de entorno: muestra por pantalla juan y luego escribe loquesea en el archivo C:\hola.txt Por ello, mi pregunta es: ¿como podriamos validar las variables de entorno? Título: Re: Validar variables de entorno Publicado por: leogtz en 13 Mayo 2008, 07:08 am Hola Carlitos.dll no entiendo muy bien tu pregunta, pero si puedo decirte que esas no son variables de entorno, son simples variables.
Y pues mmmm algo de lo que medio entendi es que para evitar que ciertos caracteres como & > < "" sean tomados como parte del code, puedes usar antes este caracter ^. Disculpa, es que no entendi bien :-( Bueno saludos man. Título: Re: Validar variables de entorno Publicado por: carlitos.dll en 13 Mayo 2008, 08:30 am gracias RockoX, a lo que me refiero es a limpiar el contenido de una variable para que no contenga comandos:
En el ejemplo logré limpiarlo hasta cierto modo eliminando ciertos caracteres (despues del = y antes del % final no hay nada, por lo que se borra ese caracter) no todos, aunque peor es nada. @echo off :box set /p nombre="Ingrese un nombre:" set nombre=%nombre:>=% set nombre=%nombre: =% set nombre=%nombre:&=% set nombre=%nombre:^=% set nombre=%nombre:<=% Aqui el orden de limpieza si importa, en este caso el caracter con mayor prioridad es el > para que no se pueda redireccionar, luego el espacio, etc. No es completamente optimo para mi gusto, porque no pude filtrar el or | asi: si en la variable alguien ingresa codigo, se ejecuta. ejemplo: set /p nombre="Ingrese un nombre:" e ingreso: carlos & echo. | net user Admin * o carlos & echo. | format E: /Q Primero se limpia el > no tiene Despues el espacio, pero en windos no importan los espacios: asi sigue quedando el mismo codigo, y cuando filtro el & se alcanza a ejecutar el codigo al leer, debido a que no se pudo filtrar el or |, si ese or hubiese sido & el comando habria perdido sentido. No logre lo que esperaba, pero al fin y al cabo, algo es algo. Gracias RockoX por responder. Título: Re: Validar variables de entorno Publicado por: No_NICK en 14 Mayo 2008, 05:15 am La manera mas facil de hacer esto es: Código:
Saludos xD ... Título: Re: Validar variables de entorno Publicado por: ~[uNd3rc0d3]~ en 18 Mayo 2008, 21:06 pm yo sigo sin enteder bien tu pregunta...para empezar como ya te dijeron no tiene nada que ver con las variables de entorno, eso es otra cosa aparte que son variables predefinidas como %windir% %homepath% etc
segun lo que entendi vos queres que el usuario ingrase una cadena al programa y lo que queres hacer es depurar algunos comando para evitar exploits del tipo inyectivos lo que hiciste esta bien y tenes mucha razon en que se ese or hubiese sido and no tendria sentido.... pero quizas puedas leer la cadena que el usuario intrudusco desde un archivo de texto con for, la analizas ahi y la filtras, despues la mostras.... nos vemos Título: Re: Validar variables de entorno Publicado por: Freeze. en 18 Mayo 2008, 23:01 pm ¿Como hacer para que la variable no se ejecute?
A eso se refiere él ;) |