mh, wie meinst du, sähe der exploit aus?

[quote=jan,24.04.2006, 00:31]mh, wie meinst du, sähe der exploit aus?[/quote]
das hängt immer davon ab, wie der code aussieht...
Nehmen wir an, in einem Webforum wird der Benutzer folgendermaßen authentifiziert:

Um das jetzt zu exploiten, muessten wir uns nur mit dem Namen "betterworld\n" registrieren, irgend ein Passwort setzen. Dann melden wir uns als "betterworld" an und geben das Passwort von "betterworld\n" an. ("betterworld" war schon vorher ein existenter Account, den wir gerne hijacken moechten.)

# edit: ich habe eine Zeile korrigiert in dem Code\n\n

<!--EDIT|betterworld|1145832730-->

Variante 1 finde ich scheisse.....

Naja ich nutzte eher eine Kombination aus allen:

Im Notfall und bei grösseren komplizierten Blöcken nehme ich Variante 2, da diese die klassische und am logischsten ist.


Sowas würde ich aber als Einzeiler machen... (geht gerade noch)


Im Prinzip rate ich allen, besonders bei grösseren Blöcken
Die öffnungs und schliesstags auf gleicher Höhe zu machen, besonders wenn es dann noch verschachtelt wird. Kleines mach ich als Einzeiler oder in der art wie Variante 3.

Meine Standard-Methode: (manchmal auch "Variante 3")


am übersichtlichsten (öffnungs/schliesstag als gleichwertig):
\n\n

<!--EDIT|master|1145866309-->

Warum findest Du die 1.Variante "scheisse"?


Deine Variante empfinde ich persönlich als unschön (nicht scheisse), weil es inkonsequent ist. Mal hast Du die geschweifte Klammer in einer neuen Zeile und mal hintendran. Das erhöht nicht gerade die Übersichtlichkeit und erschwert die Fehlersuche (wo gehört die schließende Klammer jetzt hin?).

Das mag bei drei/vier Zeilen pro Block noch gehen, aber danach kann man es nicht mehr auf einen Blick erfassen.

Genau aus diesem Grund bevorzuge ich die Variante 1.

Bei if-else rate ich von einem Einzeiler ab, weil das die Wartbarkeit drastisch reduziert. Der Mensch ist von Grund auf Lesefaul und wird deshalb häufig das else überlesen. Bei einem einfachen if (ohne else-Teil) geht das noch...

@renee
meine standardmethode ist mein persönlicher stil..
ja das ist beim } else { inkonsequent. Daher rate ich auch anderen schön die Klammern gleichwertig zu schreiben.
"if () {" ist genauso inkonsequent wie meine methode
wobei ich meine methode öfters nutze als variante 3
immer wenn ich "variante 3" brauchen müsste, mach ich dann eh einenen Einzeiler. denn bei grösseren Blöcken und verschachtelt ist "Variante 3/1" ungeeigent da sollte man ganz klar "Variante 2" nehmen



das einzige was mir mit der zeit zu umständliche wurde
war das es immer 3 zeilen brauchte
für:
}
else  
{

daher habe ich mir persönlich }  else  {
angewöhnt... und lese das schnell genug, da ich den Ausdruck " }  else {" als Ganzes sehe... und auch mit leerzeilen etwas hervorhebe.

also mein if block sieht für mein auge so aus:


Einzeiler = sind ok, wenn sie kurz sind.
Es erhöht durchaus die lesbarkeit bei kurzen Blöcken. oder wenn eine if abfrage nicht soo wichtig ist.



anstelle von:






In seltenen fällen mache ich manchmal auch sowas:


jedoch nur wenn im else-block nur 1 sub oder 1 befehl steht..


meistens gibt es bei Abfragen einen Hauptblock.

dieser sollte mit gleichwertigen
{
}

geschrieben sein. inf " if () { " zerstört dieses konzept, und erschwert die fehlersuche

Zudem habe ich gemerkt, das man immer wenn man "if() {" schreiben könnte gerade so gut einen Einzeiler machen kann.

Wichtig ist, das man mit leerzeilen richtig umgeht.
und es so optisch hervorhebt.

\n\n

<!--EDIT|master|1145869029-->

Master, das ist häßlich, ich darf mich mal zitieren?

[quote=Crian,11.09.2003, 21:57]Nummer 1 - siehe perlstyle ^^[/quote]

[quote=betterworld,24.April.2006, 00:45]
Um das jetzt zu exploiten, muessten wir uns nur mit dem Namen "betterworld\n" registrieren, irgend ein Passwort setzen. Dann melden wir uns als "betterworld" an und geben das Passwort von "betterworld\n" an. ("betterworld" war schon vorher ein existenter Account, den wir gerne hijacken moechten.)[/quote]
Irgendwie verstehe ich deine Sichtweise nicht so ganz.
Wenn ich, ebenfalls mit einer Regex, überprüfe ob der Benutzer Bereits existiert, dann kann ich kein Benutzer "betterworld\n" anlegen, da es ja das selbe wäre wie "betterworld". Und ich würde eine Meldung bekommen das der benutzer bereits existiert.

Und sagen wir mal man unterscheidet das registrieren mit einem "\n". Dann sehe ich da immer noch keine Probleme. Da es nun in der Datenbank 2 Benutzer gibt. Einmal "betterworld" und einmal "betterworld\n". Wenn ich mein SQL Query dann abschicke hole ich mir entweder das Passwort von "betterworld" oder "betterworld\n", dass jeweils ein unterschiedliches Passwort wäre. Ich könnte also auch nicht das Passwort von "betterworld\n" benutzen um mich mit "betterworld" einloggen.

Zum anderen muss ich auch gar nicht irgendein Benutzername vergleichen. Warum auch? Den Benutzername brauche ich lediglich um das Passwort zu holen, und ich vergleiche danach das Passwort.

Zum anderen sollte es aber Generell ungewollt sein, wenn \n auf einer Website zu den akzeptierten zeichen gehört. Solche Zeichen sollte man bei der Eingabe eigentlich nicht erlauben.

Quote

Master, das ist häßlich, ich darf mich mal zitieren?

[quote=Crian,11.09.2003, 21:57]Nummer 1 - siehe perlstyle ^^

[/quote]
Naja, Gott sei dank Programmieren wir hier nicht mit Python, und wir können selber entscheiden was wir für leserlicher finden, und was nicht. Das dass "{" noch auf der selben Zeile steht wie das if, for, while konnte ich mich noch nie mit anfreunden. Wenn andere es leserlicher finden, dann hindert sie ja keiner daran es zu benutzen.\n\n

<!--EDIT|sid burn|1145869686-->

@crain

in dem punkt ist der Perlstyle hässlich.... und inkonsequent..



jetzt such mal das öffnungs "{" es befindet sich ein "for" dort.. und manchmal ein "while" oder "if" usw.

optisch und logischerweise ist das einfach besser:


Perlstyle ist halt nicht in allem gut...
Übersichtlich sollte es sein, nicht kryptisch.

Nein, es ist nicht so inkonsequent wie Deine Methode:

Hier steht die schließende Klammer auf der gleichen Ebene wie das Schlüsselwort, von dem der Block begonnen wurde. Bei

Hast Du die erste schließende Klammer unter der öffnende und die zweite schließende Klammer steht irgendwie alleine da! Wie gesagt oben ist die Zuordnung immer "Schlüsselwort zu schließender Klammer" und bei der unteren Variante ist es mal "Öffnende zu schließender Klammer und dann keine Ahnung zu schließender Klammer".

So lange es nur Code für Dich ist, ist es ja absolut ok. Jeder hat seinen gewissen eigenen Stil. Aber sobald der Code von jemand anderem gelesen wird, sollte der Code klar strukturiert und gut lesbar sein.

Quote

In seltenen fällen mache ich manchmal auch sowas:

Code

if(1 eq 1)
{
print 'hallo';

print 'hallo';
print 'hallo';
} else { last; }

jedoch nur wenn im else-block nur 1 sub oder 1 befehl steht..

Eigentlich sollte man es so machen, dass der else-Block der größere (mit mehr Code) ist - auch aus Gründen der Wartbarkeit. Und in diesem Beispiel geht das else total unter.

Und für so was:

Quote

Einzeiler = sind ok, wenn sie kurz sind.
Es erhöht durchaus die lesbarkeit bei kurzen Blöcken. oder wenn eine if abfrage nicht soo wichtig ist.

Code

if(a$ eq 1) { $a = 0 } else { $a = 1 }
if(b$ eq 1) { $b = 0 } else { $b = 1 }

benutze ich lieber

oder zur Not:

Nicht dass Du das falsch verstehst. Ich möchte Dir bestimmt nicht vorschreiben, wie Du zu programmieren hast. Ich möchte nur ein paar Hinweise geben, wie man Code strukturierter schreiben könnte.

Ganz lesenswert - auch wenn man sich nicht an alles halten muss - ist "Perl Best Practices" von Damian Conway.

Quote

meistens gibt es bei Abfragen einen Hauptblock.

dieser sollte mit gleichwertigen
{
}

geschrieben sein. inf " if () { " zerstört dieses konzept, und erschwert die fehlersuche

Nein, erschwert es nicht, warum habe ich vorigen Post erläutert.

Quote

Zudem habe ich gemerkt, das man immer wenn man "if() {" schreiben könnte gerade so gut einen Einzeiler machen kann.

Häh?? Die Kausalität verstehe ich nicht...