Thread HTTP Parameter Pollution(HPP)
(2 answers)
Opened by bieber at 2009-05-20 13:38
seite 9 (Server enumeration - List) ist schonmal falsch. da wird behauptet, "Perl CGI/Apache" könne keine multiplen parameter einlesen (bei mod_perl ging es aber angeblich). quatsch. es geht bei beiden.
die beispiele, dass bei multiplen parametern der wert zu einer arrayref wird, ist nur relevant für php beispielsweise. bei CGI.pm kriegt man, wenn man nur einen wert erwartet, nur einen davon wieder (im skalaren kontext eben). das alte $cgi->Vars sollte man eh nicht benutzen. die meisten der genannten lücken entstehen mit ordentlichem url- und html-escaping und sql-bind-parametern erst gar nicht. Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem |