Prüfung des CGI-Parameters required (gelöst) (Perl/CGI)

[thread]15490[/thread]

Prüfung des CGI-Parameters required [gelöst]

Leser: 25

Articles: hide open all | hide show old branches

+9 replies
heidieswi

2010-09-28 22:14
User since
2007-10-04
9 Artikel
BenutzerIn
Hallo zusammen,

habe da ein Problem welches mich doch einige Zeit gekostet/kostet hat.
in meinem CGI bzw. in zugehörigen perl-script werden alle Felder die "required" sind überprüft. Bei allen Feldern außer SGeschlecht kommt auch im Fehlerfall brav die Fehlermeldung.
Bin ich blind?
Bitte schaut mal drüber und gebt mir bitte einen Tipp
Code: (dl )

1 2 3 4 5 6 7 8 9

<form name="oa_bwm" action="http://bwm2009k.dynalias.com/cgi-bin/BWM2011K_vE600.pl" method="post" target="_top"> <input name="sprache" type="hidden" id="sprache" value="de"> <input type="hidden" name="subject" value="Online-Anmeldung zum 36. Internationalen Bienwald-Marathon am 13.03.2011"> <input type="hidden" name="recipient" value="2"> <input type="hidden" name="print_blank_fields" value="0"> <input type="hidden" name="required" value="SName,SVna,SE-Mail,SE-Mail2,SGeschlecht,SStrecke,DatenWeiter,Vorzahl"> <input type="hidden" name="DataName" value="SName,SVna,SStrasse,SPlz,SOrt,SE-Mail,SE-Mail2,SVerein,SGb_tag,SGb_mon,SGb_jg,SNation,SChip_nr,SGeschlecht,SStrecke,Medaille,pfm,bzm,DatenWeiter,Vorzahl,Anmerkung"> <input type="hidden" name="print_config" value="email,subject">
Hier der Perlcode
Code: (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

# prüfung auf inhalt if (index($q->param('required'),$feld) >= 0) { if (index($feld,"Mail") >= 0) { if (index($q->param($feld),"@") < 0 or index($q->param($feld),".") < 0 or index($q->param($feld)," ") >= 0) { $cMeldErrTxt = 'E-Mail Adresse: falsche Syntax oder leer'; $lAnyErr = 1; } # beide MailAdressen gleich ? elsif ($nEMail > 1) { if (index($q->param("SE-Mail"),$q->param($feld)) < 0) { $cMeldErrTxt = "E-Mail Adressen nicht gleich"; $lAnyErr = 1; } } } elsif (length($q->param($feld)) < 0) { $cMeldErrTxt = "Feld darf nicht leer sein!\n"; $lAnyErr = 1; } } # nötig ende nun die sonderfälle
Vielen Dank vorab
Heinz-Dieter

//Modedit GwenDragon: Titel geändert
Last edited: 2010-09-29 14:06:33 +0200 (CEST)
- +2 replies
- Linuxer
  
  2010-09-28 22:40
  
  User since
  2006-01-27
  3890 Artikel
  HausmeisterIn
  
  Hi,
  
  wie wird "SGeschlecht" denn gesetzt? (Textfeld, Radio-Button, Check-Box, Wunder)?
  Welcher Wert steht denn im Parameter "SGeschlecht" drin? Hast Du Dir den einfach mal ausgeben lassen?
  
  Möglicherweise liegen die Daten nicht so vor, wie Du es erwartest?
  
  Wann liefert length() denn Werte kleiner 0?
  Wie kann eine Zeichenkette eine negative Länge erreichen?
  Selbst length(undef) liefert mir eine 0...
  
  meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
  Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
  - heidieswi
    
    2010-10-02 10:35
    
    User since
    2007-10-04
    9 Artikel
    BenutzerIn
    
    length: ok mein fehler
    
    SGeschlecht ist eine Liste "leer,leer;W,W;M,M"
    Da ich ja zunächst nicht weiß welchen Geschlechts der/die Anmeld. sind bleibt das Feld zunächst leer.
    
    Dadurch und im Zusammenhang mit dem Problem im Perl-Script habe ich Anmeldungen eben ohne Geschlecht. Dieser Wert ist jedoch nötig für die Klasseneinteilung in der Start- bzw. Ergebnisliste.
- +5 replies
- dgw
  
  2010-09-29 10:15
  
  User since
  2010-08-16
  27 Artikel
  BenutzerIn
  
  Hallo Heinz-Dieter,
  
  mal ganz von Deinem Perl-Problem abgesehen, stellt sich mir die Frage, wie sinnvoll/sicher es ist, in einer hidden Variable des Formulars die Sicherheitslogik (Welche Felder müssen gefüllt sein?) unterzubringen.
  Jeder der dieses CGI-Skript angreifen will, braucht nur das entsprechende Feld zu leeren und schon können Felder leer bleiben und eventuell führt das an anderer Stelle im CGI-Skript zu Fehlern.
  Du könntest a) die Liste der Pflichtfelder im CGI direkt, b) in einer Konfigurationsdatei auf dem Webserver oder c) in einer Datenbanktabelle unterbringen. Es erscheint zwar manchmal etwas paranoid, aber Userinput bei einem CGI-Skript sollte man NIE vertrauen.
  
  Just my 2 cents.
  Daniel
  Last edited: 2010-09-29 10:22:57 +0200 (CEST)
  - +3 replies
  - bianca
    
    2010-09-29 10:54
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2010-09-29T08:15:29 dgw
    Es erscheint zwar manchmal etwas paranoid, aber Userinput bei einem CGI-Skript sollte man NIE vertrauen.
    
    Scheint aber wirklich nur so. Input ist grundsätzlich immer unsicher - nicht nur bei CGI und nicht nur bei Usern sondern allen Schnittstellen - erste Stunde Informatik-Studium.
    10 print "Hallo"
    20 goto 10
    - +2 replies
    - Gast wer
      
      2010-09-29 11:37
      
      wen ein Script mit den rechten des Users läuft der es bedient, dann ist es selber Schuld, wenn er seine eigenen Dateien/Einstellungen kaputt macht. Wenn aber der User oder Rechte anders sind, dann muss man immer prüfen, alles andere ist fahrlässig.
      Last edited: 2010-09-29 11:39:25 +0200 (CEST)
      - bianca
        
        2010-09-29 12:16
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Guest wer
        wen ein Script mit den rechten des Users läuft der es bedient, dann ist es selber Schuld
        
        Stimmt zwar aber meistens ist die Anforderung auch die User vor sich selbst zu schützen. :)
        Und im CGI Umfeld laufen Anwendung doch eher selten mit den Userrechten, oder?
        10 print "Hallo"
        20 goto 10
  - heidieswi
    
    2010-10-02 10:39
    
    User since
    2007-10-04
    9 Artikel
    BenutzerIn
    
    Hi Daniel,
    
    ich bin in Perl nicht so der Spezi, jedoch die Anregung die required Felder in das Scrip zu packen finde ich gut.
    
    ich probiere das mal aus.
    
    Danke mal.
    h.-d.
- heidieswi
  
  2010-10-02 15:02
  User since
  2007-10-04
  9 Artikel
  BenutzerIn
  Nun habe ich nach ca. 5 Stunden probieren und lesen den Hund gefunden,
  er war unter zwei Fehlern begraben.
  
  1. es gibt einen Unterschied zwischen "" und " " (Leerzeichen)
  
  alt
  
  Code: (dl )
  
  1 2 3 4 5
  
  <td><select name="SGeschlecht" size="1" maxlength="1" id="SGeschlecht"> <option value=" " selected> </option> <option value="W">W</option> <option value="M">M</option> </select></td>
  
  neu und funktionierend
  
  Code: (dl )
  
  1 2 3 4 5
  
  <td><select name="SGeschlecht" size="1" maxlength="1" id="SGeschlecht"> <option value="" selected> </option> <option value="W">W</option> <option value="M">M</option> </select></td>
  
  2. und es ist ein Unterschied beim Ergebnis von Index auf > oder >= zu prüfen. Der Fehler war in dieser Zeile
  
  Code: (dl )
  
  if (index($q->param('required'),$feld) > 0) {
  
  Danke h.-d.
  
  @daniel:
  kannst du mir mal ein Stückchen Code mit dem Beispiel der Required-Prüfung via Array "my @aRequired = "SName", "SVna", ..." zukommen lassen?
  ich hab das noch nicht so drauf ;-)

View all threads created 2010-09-28 22:14.