Gast+2008-07-24 14:22:23--

Spricht etwas gegen den Einsatz von URI::Escape ?

gar nicht, solltest du halt da verwenden, wo nötig. hier bieten die beiden template-module, die
ich oben nannte, auch eine escaping-funktion, nur als default will man das sicher nicht verwenden.

pq+2008-07-24 14:28:03--

LanX-+2008-07-24 13:39:24--

BTW: Ist der Taint-modus hier aus der Mode gekommen?

schützt dich taint-mode vor sql-injections?

nein aber er zwingt mich input zu filtern und im idealfall zu validieren.
ich meine es auch nicht als ersatz für platzhalter und escaping sondern als vorstufe.

pq+2008-07-24 14:28:03--

dort verwende ich den taint-mode nicht, weil er auch
bei platzhaltern meckert. ebenso kann taint-mode gar nichts gegen xss ausrichten.
und genau diese beiden sachen waren doch gefragt.

Danke, beantwortet doch meine Frage! : )

ich persönlich finds immer befremdend wenn mir eine WEB-Applikation einen SQL-Fehler ausspukt weil man *nur* Platzhalter benutzt und nicht validiert...aber jedem das seine.

LanX-+2008-07-24 15:34:19--

ich persönlich finds immer befremdend wenn mir eine WEB-Applikation einen SQL-Fehler ausspukt weil man *nur* Platzhalter benutzt und nicht validiert...aber jedem das seine.

wie meinst du das? wer sagt, ich validiere nicht? die frage war, wie verhindere ich sql-injections.
dass man davor noch ein bisschen validieren kann, wird ja von platzhaltern nicht ausgeschlossen.

und wens interessiert:
CgiSicherheit
wurde alles schonmal aufgeschrieben.

pq+2008-07-24 16:10:35--

wie meinst du das? wer sagt, ich validiere nicht?

niemand ...

LanX-+2008-07-24 15:34:19--

ich meine es auch nicht als ersatz für platzhalter und escaping sondern als vorstufe.

Meine Frage war wieso Taint-Modus aus der Mode * ist, musste aber gerade mit erschrecken rausfinden dass es gegen XSS eigentlich wenig erzwingt:

Quote

Arguments to "print" and "syswrite" are not checked for taintedness.

[*] in meinem Perl-Cookbook steht -T als erster Punkt im Kapitel "Writing secure CGI-programs"

Auf einem Win-Server funktioniert -T auch nur dann, wenn der Admin das entsprechend eingestellt hat.
Der User de Serveraccounts, hat da keine Chance.

LanX-+2008-07-24 16:22:55--

Meine Frage war wieso Taint-Modus aus der Mode * ist, musste aber gerade mit erschrecken rausfinden dass es gegen XSS eigentlich wenig erzwingt:

Quote

Arguments to "print" and "syswrite" are not checked for taintedness.

[*] in meinem Perl-Cookbook steht -T als erster Punkt im Kapitel "Writing secure CGI-programs"

Der Taint-Modus ist sinnvoll, aber man sollte auch wissen, dass es Funktionen/Operatoren in Perl gibt, die automatisch ein untaint machen obwohl es vom User vielleicht nicht unbedingt gewollt ist. Also nicht immer blind darauf vertrauen, dass Daten wirklich tainted sind.

renee+2008-07-24 17:01:17--

Also nicht immer blind darauf vertrauen, dass Daten wirklich tainted sind.

Hmm, ich hätte schon gerne ein taintcheck bei print... grummel.

Für mich lohnen sich selten Templates, das sind oft nur Here-Docs mit Variableninterpolation die in Funktionen gekapselt werden.

Hab mal geschaut, CGI.pm realisiert mit Vars ein tied hash "params", da könnte man also auch ohne Performanceverlust alternativ genauso ein tied hash "escaped_params" basteln.

Zusätzlich könnte man eventuell über overloading von "" oder . ein "is_tainted check" bei Variableninterpolation erzwingen. (EDIT: naja wär aber Blödsinn wenns dann global gilt, statt nur für print)

ah zu kompliziert gedacht, ich kann ja auch statt print "$var ..." eine Routine out("$var ...") basteln die den übergebenen string auf tainting checked.