2020-01-20T21:00:37 rosti

Dann zeige doch mal ein Beispiel wie man -t hilfreich nutzen kann. Also nachvollziehbar. MFG

Ich habe Dir doch ein Szenario beschrieben! Das ist allerdings nicht das einer Web-Anwendung, es kann sein, dass es für Dich nicht nachvollziehbar ist.

2020-01-20T21:00:37 rosti

PS:

Quote

Ich hatte mit einigen Produkten zu tun, bei denen "von draußen" nicht so klar definiert ist.

Also ich dachte genau das ist das was -t macht: Zu erkennen was von draußen kommt und als tainted (verdorben) zu taggn.

Ja, das macht es. Und es mault auch nur dann, wenn Du es auch wieder in einer Schnittstelle "nach draußen" verwendest. Aber die Grenzen sind nicht die der Netzverbindung zum Web-Client. Perl es betrachtet auch Dinge als "von draußen", die Du und vielleicht auch andere Programmierer als "zum Programm gehörig" betrachten, wie zum Beispiel die Routing-Tabelle aus einer Binärdatei. Wenn jemand die Binärdatei gezielt verändert, dann verhält sich Dein Programm anders, weil Klassen des Angreifers geladen werden. Perl teilt Dir dank -t mit, dass es keine Validierung zwischen dem Einlesen und der Verwendung in use lib gesehen hat. Wenn Du keinen Wert darin siehst, dann lass' es.

P.S.: Kann es sein, dass Deiner Signatur ein "r" fehlt?