Thread 31C3 - Perl-Vortrag (Perl-Rant) (30 answers)
Opened by Raubtier at 2014-12-28 00:34

Raubtier
 2015-12-29 23:49
#178968 #178968
User since
2012-05-04
1070 articles
BenutzerIn
[default_avatar]
Ja, das war reinstes "Perl ist fucked, stop using it".

Vor allem scheint er zu erwarten, dass Funktionsaufrufe in Perl anders funktionieren: foo(@a) sollte seiner Meinung nach foo(\@a) sein, d.h. genau ein Argument liefern.

Was mir allerdings neu war, dbi->quote nimmt noch einen weiteren Parameter - und wenn der "2" ist, wird das erste Argument als Zahl angesehen und nicht gequotet. D.h. $dbi->quote($cgi->param("X")) ist unsicher, weil ein Angreiger X="SQL injection code"&X=2 als Parameter ├╝bergeben k├Ânnte, womit Soderzeichen in der Injection dann nicht gequotet werden.

View full thread 31C3 - Perl-Vortrag (Perl-Rant)