[quote=renee,23.12.2005, 00:39]Aber mir ging es mehr darum, Bauhaus zu zeigen, dass hier eigentlich (fast) alles gesagt wurde und er mal mit der Umsetzung beginnen sollte. Wenn dann immer noch Fragen sind, dann kann er sich ja wieder melden...[/quote]
man könnte ja mal eine wiki-seite draus machen. mit viielen beispielen.

[quote=renee,23.12.2005, 00:39]Oh, dann habe ich wohl was übersehen ;) Oder es ist was auf dem langen Weg hier her verlorengegangen *g*

Aber mir ging es mehr darum, Bauhaus zu zeigen, dass hier eigentlich (fast) alles gesagt wurde und er mal mit der Umsetzung beginnen sollte. Wenn dann immer noch Fragen sind, dann kann er sich ja wieder melden...[/quote]
Ohhh - umgesetzt hab ich da schon so einiges (und auch Code-Bespiele geliefert - Scroll mal hoch) aber außer von interOR, kam kein Kommentar zum Code.

[quote=pq,23.12.2005, 11:17]man könnte ja mal eine wiki-seite draus machen. mit viielen beispielen.[/quote]
Das ist wirklich eine sehr gute Idee!
Ich denke, es gibt sicherlich sehr viele Perl-User die mit der Sicherheit von CGI-Skripten Probleme haben.

[quote=Bauhaus,23.12.2005, 17:28][quote=renee,23.12.2005, 00:39]Oh, dann habe ich wohl was übersehen ;) Oder es ist was auf dem langen Weg hier her verlorengegangen *g*

Aber mir ging es mehr darum, Bauhaus zu zeigen, dass hier eigentlich (fast) alles gesagt wurde und er mal mit der Umsetzung beginnen sollte. Wenn dann immer noch Fragen sind, dann kann er sich ja wieder melden...[/quote]
Ohhh - umgesetzt hab ich da schon so einiges (und auch Code-Bespiele geliefert - Scroll mal hoch) aber außer von interOR, kam kein Kommentar zum Code.[/quote]
Sieht nicht so aus, als ob du die Vorschläge aus dem Forum umgesetzt hättest. Hier wurde BBCode und HTML::Entities vorgeschlagen...

[quote=Bauhaus,23.12.2005, 17:28][quote=renee,23.12.2005, 00:39]Oh, dann habe ich wohl was übersehen ;) Oder es ist was auf dem langen Weg hier her verlorengegangen *g*

Aber mir ging es mehr darum, Bauhaus zu zeigen, dass hier eigentlich (fast) alles gesagt wurde und er mal mit der Umsetzung beginnen sollte. Wenn dann immer noch Fragen sind, dann kann er sich ja wieder melden...[/quote]
Ohhh - umgesetzt hab ich da schon so einiges (und auch Code-Bespiele geliefert - Scroll mal hoch) aber außer von interOR, kam kein Kommentar zum Code.[/quote]
Ich habe den Thread jetzt noch mal (auf die Schnelle) durchgeschaut und kein wirkliches Code-Beispiel bis auf den "Exploit" gefunden... und der liess vermuten, dass das CGI-Gegenstueck alles misachtet hat, was wir gesagt haben (zum Beispiel oeffnet es eine Datei, deren Namen der User festgelegt hat)...

Na, schreibt doch mal eine Wiki-Seite.
Es gibt meistens schwer was zu finden im WWW - jedenfalls lesbar oder auf deutsch.

[quote=renee,24.12.2005, 01:56]Ich habe den Thread jetzt noch mal (auf die Schnelle) durchgeschaut und kein wirkliches Code-Beispiel bis auf den "Exploit" gefunden... und der liess vermuten, dass das CGI-Gegenstueck alles misachtet hat, was wir gesagt haben (zum Beispiel oeffnet es eine Datei, deren Namen der User festgelegt hat)...[/quote]
Dann hast Du etwas zu flüchtig gesucht ... ;)
Klick mal hier
http://board.perl-community.de/cgi-bin....7;st=90
Letzter Beitrag der Seite.

[quote=GwenDragon,25.12.2005, 13:22]Na, schreibt doch mal eine Wiki-Seite.
Es gibt meistens schwer was zu finden im WWW - jedenfalls lesbar oder auf deutsch.[/quote]
Jepp - das könnte mehr als nur sehr hilfreich sein.
Das Thema CGI Sicherkeit ist von allgemeinem Interesse und sollte daher in jedem Falle, an oberster Stelle der Themenliste eines Perl-Forums stehen.
Ich kann auch wirklich nicht verstehen warum ich hier, wegen meiner Fragen, derart angeschossen werde.

nochmal... frag konkret, dann bekommst du konkret antwort

[quote=Bauhaus,25.12.2005, 15:48][quote=renee,24.12.2005, 01:56]Ich habe den Thread jetzt noch mal (auf die Schnelle) durchgeschaut und kein wirkliches Code-Beispiel bis auf den "Exploit" gefunden... und der liess vermuten, dass das CGI-Gegenstueck alles misachtet hat, was wir gesagt haben (zum Beispiel oeffnet es eine Datei, deren Namen der User festgelegt hat)...[/quote]
Dann hast Du etwas zu flüchtig gesucht ... ;)
Klick mal hier
http://board.perl-community.de/cgi-bin....7;st=90
Letzter Beitrag der Seite.[/quote]
Naja, in dem Code-Beispiel kann man aber nicht erkennen, was drumherum steht. Die Ersetzungen musst Du zum Beispiel nicht machen, wenn Du den Text in eine Datenbank schreibst (mit den Platzhaltern) oder wenn Du den Text in eine Datei schreibst und nur für die Anzeigen in einem HTML-Text benutzt.

Es kommt also immer darauf an, was Du machst. Ein einfaches system("rm -rf /") ist an sich nicht gefährlich, sonst gäbe es dieses Forum schon seit dem zweiten Tag des Bestehens nicht mehr...

Darf ich ein paar Anmerkungen zu dem Code machen??
Ist nur für die Lesbarkeit...

Außerhalb von Zeichenklassen musst Du '-' nicht maskieren, ! ist kein Metazeichen, wenn Du s~~~ benutzt, musst Du '/' nicht maskieren.

Zusätzlich wären Kommentare noch ganz praktisch (wenn Du solchen Code hier postest), damit gleich erkennbar ist, was Du damit bezwecken willst...