Thread Perl für Weboberflächen noch zeitgemäß (35 answers)
Opened by peterstu at 2018-03-11 08:29

renee
 2018-03-13 11:07
#188142 #188142
User since
2003-08-04
14371 articles
ModeratorIn
[Homepage] [default_avatar]
2018-03-12T15:24:28 rosti
Selbstverständlich kann das mein Parser auch. Das Einzige was ich von CGI.pm übernommen habe ist der Name der Methode. So liefert $self->param('name') den Wert zu diesem Parameter, egal mit welchem Enctype und Requestmethode der Request erfolgte. Wobei dieser Wert natürlich auch eine Liste von Werten sein kann.


Meine Frage zielte mehr darauf ab, ob Dein Parser das explizit kann.

Es gab mal auf dem CCC einen Vortrag, welche Sicherheitslücken auftreten können wenn der Parameter-Parser "zu schlau" ist - also einen Wert zurückliefert, wenn der Parameter einmal auftaucht aber eine Liste liefert wenn der Parameter mehrmals auftaucht.

Code: (dl )
1
2
3
4
$obj->delete_db(
admin => $is_admin,
table => $parser->param('table'),
);


einmal bei http://domain.example/index.pl?table=tmp und einmal bei http://domain.example/index.pl?table=tmp&table=admin&table=1. Deshalb ist z.B. Mojolicious hingegangen und unterscheidet zwischen param und every_param...
OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/)
--

Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/

View full thread Perl für Weboberflächen noch zeitgemäß