Thread 31C3 - Perl-Vortrag (Perl-Rant)
(30 answers)
Opened by Raubtier at 2014-12-28 00:34
Ja, das war reinstes "Perl ist fucked, stop using it".
Vor allem scheint er zu erwarten, dass Funktionsaufrufe in Perl anders funktionieren: foo(@a) sollte seiner Meinung nach foo(\@a) sein, d.h. genau ein Argument liefern. Was mir allerdings neu war, dbi->quote nimmt noch einen weiteren Parameter - und wenn der "2" ist, wird das erste Argument als Zahl angesehen und nicht gequotet. D.h. $dbi->quote($cgi->param("X")) ist unsicher, weil ein Angreiger X="SQL injection code"&X=2 als Parameter übergeben könnte, womit Soderzeichen in der Injection dann nicht gequotet werden. |