rubyのerbを試しているが、ページが空白

phpに慣れた者です。
rubyでphpと同じように埋め込みのwebプログラミングをしてみようと思い、下記のページを参考に（ほとんど拝借して）作ってみましたが、ページに何も表示されません。
http://ruby.g.hatena.ne.jp/garyo/20071206

レンタルサーバ上にソースファイルは２つです。
[main.cgi]
#! /usr/local/bin/ruby -T
print "content-type: text/html\n\n"
require 'erb'
filename = 'tmp.html'
erb = ERB.new(File.read(filename))
list = ['AAA', 'BBB', 'CCC']
print erb.result(binding())

[tmp.html]
<html>
<body>
<ul>
<% i = 0 %>
<% for item in list %>
<li>item[<%=i%>] = <%= item %></li>
<% i += 1 %>
<% end %>
</ul>
</body>
</html>

この状態でmain.cgiにブラウザからアクセスしても、ページに何も表示されません。
ソースも０文字です。
原因が何かが見当がつきませんので、アドバイスをお願いします。

なお、パーミッションはmain.cgiが700,tmp.htmlが604。
契約しているレンタルサーバ（ハッスルサーバ）の規約上、main.cgiと拡張子がcgiになっています。

よろしくお願いします。

ベストアンサー notnot 回答No.2

#1です。やってみると、出力の前のevalでエラーになってますね。

さっき後半で書いたやり方でやると、スクリプトの1行目の -T を取って、
require 'erb'
の後に、
include ERB::Util
を追加。

[tmp.html] の方では、<%= をすべて <%=h に変えます。h というメソッドがhtmlエスケープをしてくれます。

お礼 2010/12/24 23:12

詳しい回答ありがとうございました！　無事解決できました。
ご指摘の通り、「-T」という指定を何も考えずにやっていました。汚染度という概念も初めて知りました。

読もうとしたファイルは汚染されていると判断されたから、エラーを起こしたわけですね。
-Tを使ったチェックに頼るのではなく、ファイルの方でエスケープして危険でないものにすると。

まだ何となく理解しただけですが、今後エスケープ処理は気をつけていこうと思います。

notnot 回答No.1

プログラムは間違ってません。ruby -T で起動してますが、意図的ですか(どの様な効果を発揮するのか理解しきって指定していますか)？

$SAFEが1なので、外部からの入力したデータは汚染されていると見なされ、出力出来ません。ログにエラーが出ているはずです。
File.read(filename) が汚染されているので、これを信用するということなら、汚染状態をクリアする必要があります。

erb = ERB.new(File.read(filename).untaint)

Ruby(にかぎりませんが）の「汚染」モデルは、汚染・非汚染と、二値で判断するので不十分です(注1)。データはすべて汚染されているとみなして、
(1) HTML出力時には、html用のエスケープ処理
(2) SQL作成時には、そのDBMSのその文字コードに合わせたSQL用のエスケープ処理（プレイスホルダを使うのがより正しいやり方ですが）
(3) xxxx処理に使う時には、xxxx処理用のエスケープ処理
(4) 。。。。
を行うのが正しいやり方です。-T を付けないで、自分で必要な時に必要なだけエスケープするのをお勧めします。

注１：HTML的な意味で非汚染でもSQL的な意味で汚染かもしれないので