Opened by olruebe01 at 2006-03-27 11:02
User since
2005-08-17
1420 Artikel
BenutzerIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2005-08-17
1420 Artikel
BenutzerIn
Zum Thema Sicherheit:
Du nutzt zum einen Daten, die vom User kommen ohne sie zu pruefen. Das ist ein boeses Foul in Sachen Sicherheit. Nie den Daten trauen, die man von ausserhalb bekommt!
Zum anderen baust du diese ungeprueften Parameter auch gleich direkt in dein SQL-Statement ein. Das schreit nach Dingen wie SQL-Injection.
Besser waere:
Was mir persoenlich noch besser gefaellt, weil kuerzer (und bei dir gehts sogar nur um eine Zeile):
Ach ja und ein
kann auch nie schaden ;)
Du nutzt zum einen Daten, die vom User kommen ohne sie zu pruefen. Das ist ein boeses Foul in Sachen Sicherheit. Nie den Daten trauen, die man von ausserhalb bekommt!
Zum anderen baust du diese ungeprueften Parameter auch gleich direkt in dein SQL-Statement ein. Das schreit nach Dingen wie SQL-Injection.
Besser waere:
Code (perl): (dl
)
1 2
sth = $dbh->prepare("SELECT art FROM `blacklist` WHERE item = ? and Galerie = ?"); $sth->execute($FORMDATA{item},$FORMDATA{Galerie}) or die DBI->errstr;
Was mir persoenlich noch besser gefaellt, weil kuerzer (und bei dir gehts sogar nur um eine Zeile):
Code (perl): (dl
)
@ergebnis = selectrow_array(qq{SELECT art FROM `blacklist` WHERE item = ? and Galerie = ?},undef,$FORMDATA{item},$FORMDATA{Galerie});
Ach ja und ein
Code (perl): (dl
)
use strict;