Lesen Parameter mit CGI (Textfeld, prüfen auf \r \n) (Allgemeines zu Perl)

[thread]16229[/thread]

Lesen Parameter mit CGI (Textfeld, prüfen auf \r \n)

Tags: perl5 CGI Ähnliche Threads

Leser: 17

Articles: hide open all | hide show old branches

+16 replies
Gast Silja

2011-04-28 08:39

Hallo,
ich lese mit post übergebene Parameter mit CGI:
my $q=new CGI;
@params = $q->param;
Ich wollte nun im Kontaktformular abfragen, ob in einem einfachen Textfeld Zeichen stehen mit Asci-Wert < 20, also z.B. CR (asci 10) oder LF (asci 13).
Über einen Hex-Editor habe ich ein Textfeld erzeugt mit diesen Zeichen und den Wert dann mit copy/paste in das Textfeld des Kontaktformulars geschrieben.
Im entsprechenden Feld in @params erscheinen die Zeichen CR und LF aber als Leerstellen (Asci 32)
Woran liegt dies?

modedit Editiert von GwenDragon: Titel ergänzt
Last edited: 2011-04-28 13:05:35 +0200 (CEST)
- +15 replies
- GwenDragon
  
  2011-04-28 09:30
  User since
  2005-01-17
  14784 Artikel
  Admin1
  Du kannst das gern mal mit folgendem CGI testen:
  
  Code (perl): (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
  
  #!/usr/bin/perl use strict; use warnings; use CGI; my $cgi = CGI->new; my $p = $cgi->param('test'); print $cgi->header, $cgi->start_html; if (defined $p && length $p) { print $cgi->p( qq/test ist: "$p"/, $cgi->br, 'das ist in Hex: ', unpack("H*", $p) ); } else { print $cgi->start_form, 'test: ', $cgi->textfield(-name => 'test'), $cgi->submit, $cgi->end_form; } print $cgi->end_html;
  
  Rufe das CGI mal mit folgendem angehäntem Parameter ?test=123%00%0D%0A (das ist 123 NULL RETURN NEWLINE) auf, dann siehst du, dass param nichts in Leerzeichen umwandelt.
  
  Zeigt doch mal was von deinem Code, dann sehen wir vielleicht wo der Fehler ist.
  
  //EDIT: Wenn ich in einem Texteditor folgende Zeichenfolge 123 RETURN NEWLINE erzeuge, in die Zwischenablage kopiere und dann in das Textfeld einfüge, erscheinen NEWLINE und RETURN als Leerzeichen, zu erkennen am Hex 20.
  Da wird vielleicht der Browser die Zeichen umwandeln oder die Zwischenablage konvertiert irgendwas; ich weiß es nicht.
  Last edited: 2011-04-28 09:39:24 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +14 replies
  - Gast Silja
    
    2011-04-28 11:31
    
    2011-04-28T07:30:24 GwenDragon
    //EDIT: Wenn ich in einem Texteditor folgende Zeichenfolge 123 RETURN NEWLINE erzeuge, in die Zwischenablage kopiere und dann in das Textfeld einfüge, erscheinen NEWLINE und RETURN als Leerzeichen, zu erkennen am Hex 20.
    Da wird vielleicht der Browser die Zeichen umwandeln oder die Zwischenablage konvertiert irgendwas; ich weiß es nicht.
    
    Wenn ich dies richtig interpretiere, hatte ich Recht mit der Aussage, dass es in x'20' umgewandelt wird. Ist es demnach nicht möglich zu erkennen ob x'0A' oder x'0D' eingegeben wurde?
    
    Last edited: 2011-04-28 11:41:39 +0200 (CEST)
    - +2 replies
    - Linuxer
      
      2011-04-28 11:47
      
      User since
      2006-01-27
      3891 Artikel
      HausmeisterIn
      
      Wie sieht es mit Code aus?
      Wie ist das Formular definiert?
      Wie werden die Daten verarbeitet?
      meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
      Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
      - Gast Silja
        
        2011-04-28 11:49
        
        2011-04-28T09:47:39 Linuxer
        Wie sieht es mit Code aus?
        Wie ist das Formular definiert?
        Wie werden die Daten verarbeitet?
        
        Siehe Beispiel von GwenDragon
        Last edited: 2011-04-28 11:56:51 +0200 (CEST)
    - +2 replies
    - Silja
      
      2011-04-28 11:57
      
      User since
      2011-04-28
      4 Artikel
      BenutzerIn
      
      Ich habe Dein Beispiel geändert und ein Textarea-Feld verwendet.
      Da wir x'0A' umgewandelt in x'0D0A' und x'0D' ebenfalls in x'0D0A'
      Last edited: 2011-04-28 11:58:43 +0200 (CEST)
      - GwenDragon
        
        2011-04-28 12:54
        
        User since
        2005-01-17
        14784 Artikel
        Admin1
        
        Ich nehme an, der Browser wandelt ENTER in \x0d\x0a um.
        
        //EDIT: Mit einem Proxy ist zu sehen, dass der Browser das als CR LF versendet.
        Last edited: 2011-04-28 13:00:38 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +9 replies
    - GwenDragon
      
      2011-04-28 12:06
      
      User since
      2005-01-17
      14784 Artikel
      Admin1
      
      Wenn du mein Skript verwendest mit einem mehrzeiligen Textfeld, kannst du ja auch Enter eingeben, dann wird \x0d\x0a eingefügt; teste es.
      
      Code (perl): (dl )
      
      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
      
      #!/usr/bin/perl use strict; use warnings; use CGI; my $cgi = CGI->new; my $p = $cgi->param('test'); print $cgi->header, $cgi->start_html; if (defined $p && length $p) { print $cgi->p( qq/test ist: "$p"/, $cgi->br, 'das ist in Hex: ', unpack("H*", $p) ); } else { print $cgi->start_form, 'test: ', $cgi->textarea(-name=>'test', -default=>'Text eingeben', -rows=>10, -columns=>50), $cgi->submit, $cgi->end_form; } print $cgi->end_html;
      
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +8 replies
      - Silja
        
        2011-04-28 12:40
        
        User since
        2011-04-28
        4 Artikel
        BenutzerIn
        
        2011-04-28T10:06:30 GwenDragon
        Wenn du mein Skript verwendest mit einem mehrzeiligen Textfeld, kannst du ja auch Enter eingeben, dann wird \x0d\x0a eingefügt;
        
        Ja, das stimmt und war mir klar.
        Was nicht zu erwarten war, ist die Tatsache, dass auch einzelne \x0d bzw. \x0a in die Folge \x0d\x0a umgewandelt werden.
        Und offen bleibt meine Frage, ob man bei einem einzeiligen Textfeld \x0d bzw. \x0a erkennen kann.
        
        +6 replies
        
        GwenDragon
        
        2011-04-28 12:59
        
        User since
        2005-01-17
        14784 Artikel
        Admin1
        
        Ein Return oder Newline lässt sich ja nicht ins Textfeld eingeben bzw. der Browser wandelt das in Leerzeichen um.
        
        //EDIT: Mit einem Proxy ist zu sehen, dass der Browser das als Leerzeichen versendet.
        
        Warum musst du auf \n bzw. \r testen?
        Last edited: 2011-04-28 13:03:15 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +5 replies
        
        Silja
        
        2011-04-28 19:42
        
        User since
        2011-04-28
        4 Artikel
        BenutzerIn
        
        2011-04-28T10:59:13 GwenDragon
        Ein Return oder Newline lässt sich ja nicht ins Textfeld eingeben
        
        Doch, mit Cut and paste und dv-technisch, wie es ja die Spambots machen.
        
        2011-04-28T10:59:13 GwenDragon
        Warum musst du auf \n bzw. \r testen?
        
        Mehrfach habe ich gelesen, dass man insbesondere Eingabefelder in Kontaktformularen darauf prüfen soll, damit ein Bot nicht weitere Empfängeradressen einfügen kann.
        Vielleicht ist da aber überholt, wenn der Browser (alle?) \r und \n in Textfeldern (gegenüber früher?) gar nicht mehr weitergibt.
        
        +3 replies
        
        GwenDragon
        
        2011-04-28 19:49
        
        User since
        2005-01-17
        14784 Artikel
        Admin1
        
        Du kannst doch folgendes machen:
        
        Code (perl): (dl )
        
        1 2
        
        $email = $q->param('email'); $email =~ s/[\x0d\x0a\t]//gs;
        
        Dann ist das auch sauber.
        
        Oder du testest gleich mit dem Modul Email:Valid auf eine gültige Mailadresse.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        Silja
        
        2011-04-28 20:03
        
        User since
        2011-04-28
        4 Artikel
        BenutzerIn
        
        2011-04-28T17:49:26 GwenDragon
        
        Code (perl): (dl )
        
        $email =~ s/[\x0d\x0a\t]//gs;
        
        So hatte ich es ursprünglich, da aber nie etwas ersetzt wurde, habe ich festgestellt, dass diese offensichtlich durch Leerzeichen \x20 ersetzt wurden. Und daher kam dann mein Eingangsbeitrag in diesem thread.
        Wenn aber diese tatsächlich ersetzt werden, wäre auch das o.g. Statement überflüssig.
        
        GwenDragon
        
        2011-04-28 20:36
        
        User since
        2005-01-17
        14784 Artikel
        Admin1
        
        Das Statement ist nicht überflüssig, denn auch außerhalb eines Browsers könne Daten an dein CGI gesandt werden.
        Daten von Außen sollten immer auf Gültigkeit überprüft werden.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        clms
        
        2011-04-28 20:00
        
        User since
        2010-08-29
        373 Artikel
        BenutzerIn
        
        2011-04-28T17:42:34 Silja
        2011-04-28T10:59:13 GwenDragon
        Warum musst du auf \n bzw. \r testen?
        
        Mehrfach habe ich gelesen, dass man insbesondere Eingabefelder in Kontaktformularen darauf prüfen soll, damit ein Bot nicht weitere Empfängeradressen einfügen kann.
        Vielleicht ist da aber überholt, wenn der Browser (alle?) \r und \n in Textfeldern (gegenüber früher?) gar nicht mehr weitergibt.
        
        Wenn Du Deine Webanwendung vor (absichtlichen oder unabsichtlichen)
        Manipulationen schützen willst, musst Du selbstverständlich bei allen Parametern,
        die Dein CGI-Skript von außen bekommt, sorgfältig prüfen,
        ob sie Deinen Erwartungen an die Formatierung entsprechen.
        (Nur \n und \r checken reicht da nicht.)
        
        Das ist völlig unabhängig davon, wie (d)ein Browser Eingaben vorfiltert.
        Dein CGI-Skript kann ja nicht kontrollieren, ob die Daten überhauot
        von einem Browser verschickt wurden.
        
        clms
        
        2011-04-28 15:02
        
        User since
        2010-08-29
        373 Artikel
        BenutzerIn
        
        2011-04-28T10:40:58 Silja
        Und offen bleibt meine Frage, ob man bei einem einzeiligen Textfeld \x0d bzw. \x0a erkennen kann.
        
        Das serverseitige Skript kann nur auswerten, was der Browser an den Server schickt.
        Wenn der Browser ein eizelnes \x0d bzw. \x0a an den Server sendet, kann das Skript das prinzipiell erkennen.
        
        Wenn der Browser unabhängig von der Eingabe in das Textfeld immer ein \x0D\x0A an den Server sendet,
        hat das Skript keine Chance die ursprüngliche Eingabe ins Textfeld zu rekonstruieren.

View all threads created 2011-04-28 08:39.