Thread Parameter aus DB direkt bereinigen
(6 answers)
Opened by karhuso at 2010-09-06 14:40
Hallo,
folgendes zum System Perl 5.8 Sun Solaris Oracle 9 Um eingeschleusten schadhaften Code unschädlich zu machen, bin ich auf der Suche nach einem Befehl (evtl. dbi), der es mir ermöglicht während, vor oder auch nach einem fetch, die Daten aus der Datenbank mittels diesem schadfrei zu bekommen. Ähnlich wie escape_html(). Problem ist, dass unsere kompletten Anwendungen so implementiert wurden, dass die einzelenen Parameter mittels bind_columns ausgelesen werden, da sich die Anzahl der Parameter teilweise auf 50 beläuft wäre es unpraktisch alle Parameter mit escape_html() zu bearbeiten. Eine allgemeine Lösung über den Apache o. ä. ist leider auch nicht möglich, da es Anwendungen gibt, die HTML Code schon in der DB erstellen, diese würden dann ein wenig crashen ;-) Ich hoffe ich habe mich einigermaßen verständlich ausgedrückt... falls nicht... fragen ;-) Evtl. hat ja jemand einen Lösungsansatz oder einen Hinweis dem man nachgehen könnte...... Tainted Mode wurde schon in Betracht gezogen, hilft aber nicht bei der aktuellen Problemlösung. Gruß Björn Last edited: 2010-09-06 14:41:47 +0200 (CEST) |