Opened by Monk at 2009-04-01 18:00
Guten Abend,
ich befasse mich seit gerade erst mit MySql in Perl und habe eine Frage diesbezüglich.
Hier mal der Codeausschnitt:
$sorte und $animal kommen per Get Parameter rein, und sollen gequotet werden.
Doch beim testen von
test.pl?$sorte=1&animal=<script>alert("XSS")</script>
bekomme ich einen Xss , obwohl doch der String gequotet sein sollte ?
Was läuft falsch ?
Ps. Da ich wie gesagt jetzt erst angefangen habe mit diesem Thema, bitte ich euch alles genau zuerklären, damit ich auch dazulernen kann. ;)
MFG Monk :)
Modedit Gwendragon: Code-Tags für Perl, HTML ergänzt
Last edited: 2009-04-11 11:48:51 +0200 (CEST)
ich befasse mich seit gerade erst mit MySql in Perl und habe eine Frage diesbezüglich.
Hier mal der Codeausschnitt:
Code (perl): (dl
)
1 2 3 4 5 6
my $animal = $dbh->quote($animal); my $sorte = $dbh->quote($sorte); my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=$sorte, bsp_text=$animal") || die "Konnte Statement nicht erstellen : $DBI::errstr<br>"; $sth->execute() || die "Konnte Statement nicht ausführen $DBI::errstr<br>"; $sth->finish;
$sorte und $animal kommen per Get Parameter rein, und sollen gequotet werden.
Doch beim testen von
test.pl?$sorte=1&animal=<script>alert("XSS")</script>
bekomme ich einen Xss , obwohl doch der String gequotet sein sollte ?
Was läuft falsch ?
Ps. Da ich wie gesagt jetzt erst angefangen habe mit diesem Thema, bitte ich euch alles genau zuerklären, damit ich auch dazulernen kann. ;)
MFG Monk :)
Modedit Gwendragon: Code-Tags für Perl, HTML ergänzt
Last edited: 2009-04-11 11:48:51 +0200 (CEST)