程序必须确保所有输入都受到控制;对于 setuid/setgid 程序来说,这尤其困难,因为它们有很多这样的输入。程序必须考虑的其他输入包括当前目录、信号、内存映射(mmaps)、System V IPC、待处理的定时器、资源限制、调度优先级以及 umask(它决定了新创建文件的默认权限)。考虑在程序启动时显式地更改目录(使用 chdir(2))到一个适当的完整命名目录。