[quote=pq,21.12.2005, 19:29]das problem ist, -T muss schon beim starten des perl-interpreters da sein.[/quote]
ihr wisst ja alles immer besser.

c:\test.pl sieht so aus


selbst wenn ich auf der cmd zeile sage:
perl c:\test.pl bringt es nix.

man muss perl -T c:\test.pl ... dann läuft es... dann brauch ich -T auch nicht in den shebang zuschreiben ...

und das hat auch nix billy boy zu tun ...

[quote=esskar,21.12.2005, 22:04][quote=pq,21.12.2005, 19:29]das problem ist, -T muss schon beim starten des perl-interpreters da sein.[/quote]
[...]

selbst wenn ich auf der cmd zeile sage:
perl c:\test.pl bringt es nix.

man muss perl -T c:\test.pl ... dann läuft es... [...][/quote]
Das war ja das was pq gesagt hatte...

Das kann doch in Sachen Sicherheit nicht alles gewesen sein - oder?

Leute, ihr schreibt doch alle (auch) CGI Programme.
Also los - raus mit der Sprache ... ;)
Will sagen: ein wenig Code wäre wirklich nett. :)

[quote=Bauhaus,22.12.2005, 17:43]Also los - raus mit der Sprache ... ;)
Will sagen: ein wenig Code wäre wirklich nett. :)[/quote]
also bis du nicht auf einen der tipps konkret eingehst, habe ich alles
gesagt, was es dazu zu sagen gibt. und das finde ich gar nicht wenig.
es ist nur nicht das, was dir in den kram passt.
ein schönes leben noch.

[quote=pq,22.12.2005, 18:49][quote=Bauhaus,22.12.2005, 17:43]Also los - raus mit der Sprache ... ;)
Will sagen: ein wenig Code wäre wirklich nett. :)[/quote]
also bis du nicht auf einen der tipps konkret eingehst, habe ich alles
gesagt, was es dazu zu sagen gibt. und das finde ich gar nicht wenig.
es ist nur nicht das, was dir in den kram passt.
ein schönes leben noch.[/quote]
Ach interOR ;)
Du hast dich im Verlauf dieses Threads mit deinen Äußerungen so oft um die eigene Achse gedreht dass du zu Weihnachten durchaus als Brummkreisel durchgehen könntest :)

In diesem Sinne ...
auch dir ein schönes Leben noch!
(was auch immer du mir damit sagen wolltest)

An alle anderen ...
OK - ich gebe meine offensichtlich unangenehmen Nachfragen zu diesem Thema auf.

Frohes Fest und Guten Rutsch in's neue Jahr.

Also was ich mache (und das meiste wurde hier durchaus schon genannt):
traue keiner Benutzereingabe

Das heisst:
Öffnen einer Datei (wurde schon gesagt):
Öffne keine Datei, deren Dateiname vom User kommt oder überprüfe den Dateinamen auf "unerlaubte Zeichen" (Pipe,\0,...). Was erlaubt ist hängt ganz von Dir und Deinen Zielen ab. Deswegen kann hier keiner eine Angabe dazu machen.

Taint-Modus (wurde schon gesagt):
Lasse die CGI-Skripte im Taint-Modus laufen

SQL:
Benutze die ?-Notation (siehe DBI-Doku)

benutze kein (String-)eval (wurde schon gesagt)

benutze die Usereingaben nur als HTML-Ausgabe (wurde indirekt schon gesagt)


Wie Du siehst, ist das wichtigste schon gesagt worden...

[quote=renee,22.12.2005, 22:22]überprüfe den Dateinamen auf "unerlaubte Zeichen" (Pipe,\0,...). Was erlaubt ist hängt ganz von Dir und Deinen Zielen ab.[/quote]
@renee: ich weiss, du meinst das richtige, aber es kommt voellig verkehrt rueber.

Bei sowas nie auf unerlaubte zeichen pruefen, sondern immer auf erlaubte zeichen pruefen. wenn z.B. nur buchstaben, zahlen und punkt erlaubt ist, dann besser:

und nicht:

hier habe ich naemlich eine menge uebersehen, was eventuell probleme machen koennte (und wenn es sich um unicode handelt, wird's komplett unpraktikabel)

jepp, danke fuer die Klarstellung!

[quote=renee,22.12.2005, 22:22]
Öffnen einer Datei (wurde schon gesagt):
...
Taint-Modus (wurde schon gesagt):
...
SQL:
Benutze die ?-Notation (siehe DBI-Doku)
[/quote]
wurde auch schon gesagt (platzhalter)

Quote

benutze kein (String-)eval (wurde schon gesagt)

benutze die Usereingaben nur als HTML-Ausgabe (wurde indirekt schon gesagt)

Wie Du siehst, ist das wichtigste schon gesagt worden...

eigentlich alles =)

Oh, dann habe ich wohl was übersehen ;) Oder es ist was auf dem langen Weg hier her verlorengegangen *g*

Aber mir ging es mehr darum, Bauhaus zu zeigen, dass hier eigentlich (fast) alles gesagt wurde und er mal mit der Umsetzung beginnen sollte. Wenn dann immer noch Fragen sind, dann kann er sich ja wieder melden...