Opened by Gast at 2005-12-12 17:10
User since
2003-08-04
14371 Artikel
ModeratorIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-08-04
14371 Artikel
ModeratorIn
Also was ich mache (und das meiste wurde hier durchaus schon genannt):
traue keiner Benutzereingabe
Das heisst:
Öffnen einer Datei (wurde schon gesagt):
Öffne keine Datei, deren Dateiname vom User kommt oder überprüfe den Dateinamen auf "unerlaubte Zeichen" (Pipe,\0,...). Was erlaubt ist hängt ganz von Dir und Deinen Zielen ab. Deswegen kann hier keiner eine Angabe dazu machen.
Taint-Modus (wurde schon gesagt):
Lasse die CGI-Skripte im Taint-Modus laufen
SQL:
Benutze die ?-Notation (siehe
DBI-Doku)
benutze kein (String-)eval (wurde schon gesagt)
benutze die Usereingaben nur als HTML-Ausgabe (wurde indirekt schon gesagt)
Wie Du siehst, ist das wichtigste schon gesagt worden...
traue keiner Benutzereingabe
Das heisst:
Öffnen einer Datei (wurde schon gesagt):
Öffne keine Datei, deren Dateiname vom User kommt oder überprüfe den Dateinamen auf "unerlaubte Zeichen" (Pipe,\0,...). Was erlaubt ist hängt ganz von Dir und Deinen Zielen ab. Deswegen kann hier keiner eine Angabe dazu machen.
Taint-Modus (wurde schon gesagt):
Lasse die CGI-Skripte im Taint-Modus laufen
SQL:
Benutze die ?-Notation (siehe
DBI-Doku)benutze kein (String-)eval (wurde schon gesagt)
benutze die Usereingaben nur als HTML-Ausgabe (wurde indirekt schon gesagt)
Wie Du siehst, ist das wichtigste schon gesagt worden...
OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/)
--
Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/
Frankfurt Perlmongers (http://frankfurt.pm/)
--
Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/