Opened by Raubtier at 2014-12-28 00:34
User since
2012-05-04
1054 Artikel
BenutzerIn
2012-05-04
1054 Artikel
BenutzerIn
Ja, das war reinstes "Perl ist fucked, stop using it".
Vor allem scheint er zu erwarten, dass Funktionsaufrufe in Perl anders funktionieren: foo(@a) sollte seiner Meinung nach foo(\@a) sein, d.h. genau ein Argument liefern.
Was mir allerdings neu war, dbi->quote nimmt noch einen weiteren Parameter - und wenn der "2" ist, wird das erste Argument als Zahl angesehen und nicht gequotet. D.h. $dbi->quote($cgi->param("X")) ist unsicher, weil ein Angreiger X="SQL injection code"&X=2 als Parameter übergeben könnte, womit Soderzeichen in der Injection dann nicht gequotet werden.
Vor allem scheint er zu erwarten, dass Funktionsaufrufe in Perl anders funktionieren: foo(@a) sollte seiner Meinung nach foo(\@a) sein, d.h. genau ein Argument liefern.
Was mir allerdings neu war, dbi->quote nimmt noch einen weiteren Parameter - und wenn der "2" ist, wird das erste Argument als Zahl angesehen und nicht gequotet. D.h. $dbi->quote($cgi->param("X")) ist unsicher, weil ein Angreiger X="SQL injection code"&X=2 als Parameter übergeben könnte, womit Soderzeichen in der Injection dann nicht gequotet werden.