Opened by miwieg at 2012-08-24 15:33
User since
2003-08-04
12208 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12208 Artikel
Admin1
es ist egal, ob man per textfeld was eingeben kann oder nicht. jeder parameter, den du von aussen holst, ist manipulierbar.
auf was du prüfst, hängt immer davon ab, was du anschliessend mit den daten anstellst. für datenbankabfragen solltest du z.b. platzhalter verwenden, für system-calls die form mit mehreren argumenten, und bei ausgabe als html einfach alles in html-entities umwandeln.
pauschal zu sagen, du musst x und y rausfiltern, das geht so nicht.
perldoc perlsec lesen
http://bobby-tables.com/ für datenbankabfragen lesen
auf was du prüfst, hängt immer davon ab, was du anschliessend mit den daten anstellst. für datenbankabfragen solltest du z.b. platzhalter verwenden, für system-calls die form mit mehreren argumenten, und bei ausgabe als html einfach alles in html-entities umwandeln.
pauschal zu sagen, du musst x und y rausfiltern, das geht so nicht.
perldoc perlsec lesen
http://bobby-tables.com/ für datenbankabfragen lesen
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem