Werte immer escapen/filtern (Perl/CGI)

[thread]18213[/thread]

Werte immer escapen/filtern

Tags: perl5 CGI Ähnliche Threads

Leser: 17

Articles: hide open all | hide show old branches

Teilbaum:
Werte immer escapen/filtern (11 Artikel) 2013-03-20 11:25

+12 replies
Muffi

2013-03-20 10:04

User since
2012-07-18
1465 Artikel
BenutzerIn

Quote
Was und ob du escapen/filtern musst, können wird jetzt nicht so sagen.

Da gibts eigentlich eine ganz simple Regel, die immer funktioniert:
Alles.
Ich würd nicht mal das $i unescaped in die Seite schreiben.
Das geht momentan zwar super ohne, aber irgendwann wird das ganze mal erweitert und per hidden-input wird je nach Formular ein kleiner Präfix für $i mitgeschickt. Und Bumms.
Last edited: 2013-03-20 10:18:00 +0100 (CET)
1 + 1 = 10
- +11 replies
- GwenDragon
  
  2013-03-20 10:17
  
  User since
  2005-01-17
  14533 Artikel
  Admin1
  
  2013-03-20T09:04:15 Muffi
  Quote
  Was und ob du escapen/filtern musst, können wird jetzt nicht so sagen.
  
  Da gibts eigentlich eine ganz simple Regel, die immer funktioniert:
  Alles.
  Alles escapen?
  Zeig doch mal wie dann noch korrekte Werte in den Inputfeldern landen sollen.
  So einfach wie du schreibst, ist das nämlich nicht!
  
  2013-03-20T09:04:15 Muffi
  Ich würd nicht mal das $i unescaped in die Seite schreiben.
  Das geht momentan zwar super ohne, aber irgendwann wird das ganze mal erweitert und per hidden-input wird je nach Formular ein kleiner Präfix für $i mitgeschickt. Und Bumms.
  
  Wieso? $i ist kein CGI-Parameter, wo soll das Probleme bereiten?
  Last edited: 2013-03-20 10:19:49 +0100 (CET)
  die Drachin, Gwendolyn
  
  Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
  - +9 replies
  - Muffi
    
    2013-03-20 10:18
    
    User since
    2012-07-18
    1465 Artikel
    BenutzerIn
    
    Ich versteh die Frage nicht
    1 + 1 = 10
    - +8 replies
    - GwenDragon
      
      2013-03-20 10:25
      
      User since
      2005-01-17
      14533 Artikel
      Admin1
      
      Du schreibst: Alles escapen.
      
      Wenn also dein HTML so aussieht:
      
      Code (html): (dl )
      
      1 2 3 4 5 6 7 8 9
      
      <tr> <td>Beschreibung</td>  <td><input type="text" size="10" name="beschreibung$i" value="$beschreibungwerte{"beschreibung$i"}" ></td> <td><input type="submit" name="werteuebernehmen"></td> </tr>
      
      und du escapest vor der Ausgabe $beschreibungwerte{"beschreibung$i"} als HTML-kodiert, dann sind diese Werte nachher nicht mehr verwendbar, weil aus manchen Zeichen dann &xxx; kodiert wird.
      
      //EDIT:
      Schließlich wird das escapte ja wieder perl Forumlar abgesandt.
      Last edited: 2013-03-20 10:26:29 +0100 (CET)
      die Drachin, Gwendolyn
      
      Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
      - pq
        
        2013-03-20 10:29
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2013-03-20T09:25:05 GwenDragon
        und du escapest vor der Ausgabe $beschreibungwerte{"beschreibung$i"} als HTML-kodiert, dann sind diese Werte nachher nicht mehr verwendbar, weil aus manchen Zeichen dann &xxx; kodiert wird.
        
        warum nicht? aus & wird &, aus " wird ", aus < wird <. zum beispiel.
        dann steht da value="text mit & und ""
        
        schicke ich das per CGI an ein skript, kriegt dieses text mit & und "
        wo ist dann das problem?
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - +5 replies
      - Muffi
        
        2013-03-20 10:33
        
        User since
        2012-07-18
        1465 Artikel
        BenutzerIn
        
        Das geht nicht kaputt, du kannst im HTML escapen was du lustig bist.
        
        In meinem Templatesystem würd die Ausgabe so ausschaun.
        
        Code (perl): (dl )
        
        <input type="text" value="<%= he $value %>">
        
        he = html_escape
        1 + 1 = 10
        
        +4 replies
        
        pq
        
        2013-03-20 10:37
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        in meinem template-system würde ich das escapen erst gar nicht reinschreiben müssen, denn ich könnte es ja vergessen. default-escaping ist wirklich empfehlenswert. nichts ist angenehmer als zu wissen, dass ich mich wirklich nur um die fälle kümmern muss, wo ich explizit nicht escapen will (weil schon im skript in HTML umgewandelt z.b.)
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +3 replies
        
        Muffi
        
        2013-03-20 10:39
        
        User since
        2012-07-18
        1465 Artikel
        BenutzerIn
        
        Jaaaaa jaaaaajaaaaa ;)
        Ich hab halt immer das Gefühl ich muss das selber kontrollieren. Wahrscheinlich aber wohl nur jahrelange Angewöhnung.
        
        [PS] Wie würd ich dann sowas schreiben?
        
        Code (perl): (dl )
        
        <a href="<%= url($url, %arg) %>">
        
        oder
        
        Code (perl): (dl )
        
        1 2 3
        
        <script> var irgendwas = "<%= jse $string %>"; </script>
        
        Last edited: 2013-03-20 10:47:00 +0100 (CET)
        1 + 1 = 10
        
        +2 replies
        
        pq
        
        2013-03-20 10:54
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        ich weiss nicht, ob ich das so pauschal beantworten kann.
        
        kann es sein, dass du default-escaping noch gar nicht kennst und dich jetzt fragst, wie escape ich explizit nicht oder mit was anderem?
        
        natürlich ist das möglich.
        
        aber pauschal kann man das nicht beantworten.
        
        in HTML::Template::Compiled schreibt man nach wie vor einfach den namen des escapes hin:
        <%= foo escape=JS %>
        
        damit wird das default-escape HTML umgangen.
        
        gar nicht escapen:
        <%= foo escape=0 %>
        
        dein beispiel mit dem funktionsaufruf von url() kann ich in HTML::Template::Compiled nicht darstellen, da es dort keine funktionsaufrufe gibt (nur methodenaufrufe).
        
        wie das in den anderen modulen geht, weiss ich nicht auswendig.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        Muffi
        
        2013-03-20 10:58
        
        User since
        2012-07-18
        1465 Artikel
        BenutzerIn
        
        ah ok. Beantwortets.
        1 + 1 = 10
      - GwenDragon
        
        2013-03-20 11:24
        
        User since
        2005-01-17
        14533 Artikel
        Admin1
        
        OMG. CGI.pm macht ja auch vorher ein unescape. Wo bin ich mit meinen Gedanken. Klar funktioniert das mit escapeHTML. Peinlich.
        die Drachin, Gwendolyn
        
        Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
  - pq
    
    2013-03-20 10:22
    
    User since
    2003-08-04
    12208 Artikel
    Admin1
    
    2013-03-20T09:17:28 GwenDragon
    2013-03-20T09:04:15 Muffi
    Da gibts eigentlich eine ganz simple Regel, die immer funktioniert:
    Alles.
    Alles escapen?
    
    klar.
    das feld klingt ja nach einem textfeld mit beliebigem inhalt. "beschreibung". da will ich nicht schon beim auslesen des wertes bestimmen, was evtl. bei der verarbeitung störend sein könnte. ich lasse erstmal alles zu.
    
    erst wenn ich es weiterverarbeite, filtere ich.
    bei SQL verwende ich platzhalter, bei HTML escape ich einfach alles.
    und zwar mit: HTML::Template(::Compiled) und der option default_escape, mit Template::AutoFilter oder mit Text::Xslate
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem

View all threads created 2013-03-19 20:06.