Opened by peterstu at 2018-03-11 08:29
User since
2003-08-04
14371 Artikel
ModeratorIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-08-04
14371 Artikel
ModeratorIn
2018-03-13T13:04:39 rostiUnd: Man kann auch mit den vorhandenen Enctypes so programmieren, daß keine Sicherheitslücken entstehen. Z.B. indem man Schlüsselparameter sauber trennt von Parametern die der Datenübertragung dienen. Genau das konnte man auch schon mit CGI.pm tun indem man davon ausgeht daß param() auch eine Liste liefern kann und wenn man das nicht haben will, mit scalar den scalaren Kontext erzwingt.
Entweder haben das die Kollegen von CCC nicht gewußt oder mit fragwürdigen Absichten falsch in Szene gesetzt. Die Behauptung daß CGI.pm in dieser Hinsicht ein Sicherheitsproblem darstellt ist unsinnig!
Dass man einen skalaren Kontext erzwingen kann, steht ja gar nicht zur Diskussion. Es ging dabei auch eher darum wie sehr man die Programmierer bei der Programmierung unterstützt.
Und kontextabhängiges Verhalten - bzw. unterschiedliches Verhalten je nach Usereingabe - ist nicht gerade Einsteigerfreundlich.
Bei CGI.pm war zu dem Zeitpunkt des Vortrages - wenn ich mich recht erinnere - kein expliziter Hinweis auf das unterschiedliche Verhalten je nach Nutzereingabe.
OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/)
--
Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/
Frankfurt Perlmongers (http://frankfurt.pm/)
--
Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/