Thread Fragen zum Taintmodus
(13 answers)
Opened by rosti at 2020-01-21 10:20
Hier noch ein Gegen-Beispiel:
Code (perl): (dl
)
my $r = $dbh->selectall_arrayref("select * from forum where mesgid=?", {Slice=>{}}, $ENV{QUERY_STRING}); -t stört sich nicht daran, einen tainted $ENV{QUERY_STRING} an eine DB-Abfrage weiterzugeben. Im Übrigen erkennt Scalar::Util das Abfrageergebnis nicht als tainted an und auch nicht die darin enthaltenen Strings. MFG Last edited: 2020-01-21 17:11:25 +0100 (CET) |