Thread sicherheitsvorkehrungen bei read-only service? (7 answers)
Opened by miwieg at 2012-08-24 15:33

pq
 2012-08-24 16:27
#161319 #161319
User since
2003-08-04
12208 articles
Admin1
[Homepage]
user image
es ist egal, ob man per textfeld was eingeben kann oder nicht. jeder parameter, den du von aussen holst, ist manipulierbar.
auf was du prüfst, hängt immer davon ab, was du anschliessend mit den daten anstellst. für datenbankabfragen solltest du z.b. platzhalter verwenden, für system-calls die form mit mehreren argumenten, und bei ausgabe als html einfach alles in html-entities umwandeln.
pauschal zu sagen, du musst x und y rausfiltern, das geht so nicht.

perldoc perlsec lesen
http://bobby-tables.com/ für datenbankabfragen lesen
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem

View full thread sicherheitsvorkehrungen bei read-only service?