Resultat einer DB-Abfrage mit allen Variablen im Skript matchen/replacen (Allgemeines zu Perl)

[thread]19250[/thread]

Resultat einer DB-Abfrage mit allen Variablen im Skript matchen/replacen

Tags: perl5 Ähnliche Threads

Leser: 13

Articles: hide open all | hide show old branches

+10 replies
Gast tx556

2014-08-20 18:07

Hallo,

gibt es eine Moeglickeit, das Resultat einer Db-Abfrage mit allen loaklen/globalen Variablen im Skript zu matchen/replacen?

Bsp:
(a) Ich speichere in einer DB-Tabelle "table" eine Zeile mit Feld "field" ab. Der Wert von field in der DB lautet: "Die Variable lautet $var!"

script.pl (pseudo)
...
$var = 10;
SELECT text FROM table... -> returning result as $text

print "$text";
...

Sollte jetzt den Output ergeben: "Die Variable lautet 10!"
$text sollte mit allen Variablen in script.pl gematched werden. Ich wuerde 100 Substitues etc. ueber $text laufen lassen.

Vielleicht faellt jemanden hierzu was ein? ;) Danke ;)
Last edited: 2014-08-20 18:17:59 +0200 (CEST)
- +8 replies
- clms
  
  2014-08-20 18:40
  User since
  2010-08-29
  373 Artikel
  BenutzerIn
  Code (perl): (dl )
  
  1 2 3 4
  
  ...; my $substituted_text = eval("\"$text\""); die "Variable Substitiution failed: '$@'" if $@; print $substituted_text;
  
  Die doppelten doppelten Anführungszeichen sind notwendig, damit der Code, der evaluiert wird, der Inhalt von $text eingerahmt von doppelten Anführungszeichen ist. Beim Evaluieren werden dann wie bei
  my $text = "Die Variable lautet $var!"; die Variablen durch ihren Wert im lokalen scope ersetzt.
  
  Alternativ kannst Du auch eval('"'.$text.'"') schreiben.
  
  modedit Editiert von GwenDragon: Vollzitat entfernt
  Last edited: 2014-08-20 18:53:18 +0200 (CEST)
  - +7 replies
  - Raubtier
    
    2014-08-20 19:09
    
    User since
    2012-05-04
    1076 Artikel
    BenutzerIn
    
    Und wenn $text = q{";system("bc");"}; ist?
    Last edited: 2014-08-20 19:10:45 +0200 (CEST)
    - +6 replies
    - clms
      
      2014-08-21 00:29
      
      User since
      2010-08-29
      373 Artikel
      BenutzerIn
      
      Man sollte da schon eine vertrauenswürdige Datenbank haben, aus der man $text holt.
      
      Andererseits: Welche Manipulationsmöglichkeiten bestehen?
      Solange $text von eval als Inhalt des Strings interpretiert wird und nur Variablen ersetzt werden, sollte es sicher sein (oder übersehe ich da etwas?)
      
      Bleibt das Problem, das ein Angreiffer, der $text kontrollieren kann, den String zwischenzeitig abbricht und der nachfolgene Text dann als normaler Perl-Code ausgeführt wird - so wie Du es in Deinem Beispiel vormachst.
      Dazu muss ein normales " als Stringende in $text vorkommen.
      Das kann man verhindern, indem man die " ausreichend escaped.
      
      Ein einfaches $text =~ s/\"/\\\"/g reicht leider nicht, weil der Angreifer ja auch $text = '\";do_evil();\"' setzen könnte. Dann würde man mit dem obigen Replacement, das Unheil erst auslösen weil die vorher escapten " plötzlich wieder unescaped sind. Man muss also sicherstellen, dass man zum Escapen eine ungerade Anzahl von Backslashes vor dem " hat. Komplizierter wird es noch dadurch, dass man auch die Variablen $\ und $$ berücksichtigen muss, die man verwenden könnte um ein Backslash zu "konsumieren".
      Ich komme dann auf folgende Zeile zum Escapen der Quotes:
      $text =~ s/(^|[^\\\$])((\\\\|\$\\|\$\$)*)\"/$1$2\\\"/g;
      
      Das sollte funktionieren.
      
      Allerdings ist in Perl 5.18.2 anscheinend ein Bug bei "$\\""
      - +4 replies
      - Raubtier
        
        2014-08-21 09:18
        
        User since
        2012-05-04
        1076 Artikel
        BenutzerIn
        
        Es besteht außerdem noch die Gefahr, dass Variablen aus dem Programm, die nicht dafür gedacht sind, angezeigt zu werden, ausgegeben werden.
        
        Meiner Meinung nach ist die sauberste Lösung, nur eine Liste von erlaubten Variablen zu ersetzen. Dies kann dann auch gerne mit irgendeiner Template-Engine geschehen (oder eben über simples Search-Replace). Neben meiner generellen Abneigung gegen eval($skalar) kommt noch dazu, dass man interessante Informationen doch oft gar nicht als lokale (als globale schon gar nicht!) "einfache" Variablen vorliegen hat, sondern oft befinden sich interessante Werte doch in Objekten, d.h. einzelne $var im String wären dann durch $object->method() zu ersetzen.
        
        +3 replies
        
        clms
        
        2014-08-21 11:12
        
        User since
        2010-08-29
        373 Artikel
        BenutzerIn
        
        2014-08-21T07:18:54 Raubtier
        Es besteht außerdem noch die Gefahr, dass Variablen aus dem Programm, die nicht dafür gedacht sind, angezeigt zu werden, ausgegeben werden.
        
        Wieso "Gefahr"? Wenn Du die falsche Variable angibst, bekommst Du halt einen String wie "HASH(0x...)" ausgegeben. Das ist wahrscheinlich nicht, was Du willst, aber eine Gefahr oder gar ein Sicherheitsrisiko sehe ich darin nicht.
        
        2014-08-21T07:18:54 Raubtier
        Neben meiner generellen Abneigung gegen eval($skalar) kommt noch dazu, dass man interessante Informationen doch oft gar nicht als lokale (als globale schon gar nicht!) "einfache" Variablen vorliegen hat, sondern oft befinden sich interessante Werte doch in Objekten, d.h. einzelne $var im String wären dann durch $object->method() zu ersetzen.
        
        Das war nicht die Fragestellung.
        
        Natürlich kann man darüber spekulieren, ob eine richtige Template-Engine nicht die bessere Lösung ist, aber eventuell liegen die Text-Srngs in der Datenbank nun einmal in genau dem beschriebenen Format vor.
        
        pq
        
        2014-08-21 11:44
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2014-08-21T09:12:13 clms
        Wieso "Gefahr"? Wenn Du die falsche Variable angibst, bekommst Du halt einen String wie "HASH(0x...)" ausgegeben.
        
        oder "geheimes-db-passwort"
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        Raubtier
        
        2014-08-21 12:24
        
        User since
        2012-05-04
        1076 Artikel
        BenutzerIn
        
        2014-08-21T09:12:13 clms
        2014-08-21T07:18:54 Raubtier
        Neben meiner generellen Abneigung gegen eval($skalar) kommt noch dazu, dass man interessante Informationen doch oft gar nicht als lokale (als globale schon gar nicht!) "einfache" Variablen vorliegen hat, sondern oft befinden sich interessante Werte doch in Objekten, d.h. einzelne $var im String wären dann durch $object->method() zu ersetzen.
        
        Das war nicht die Fragestellung.
        
        Naja, ich finde es nur höchst merkwürdig, dass die Variablen alle einfach so im lokalen Scope der DB-Abfrage vorliegen sollen. Das weist auf schlechten Stil hin.
        
        Wenn ich erst
        
        Code (perl): (dl )
        
        1 2
        
        my $db_variable1 = $obj->irgendwas(); my $db_variable2 = $obj2->irgendwasAnderes();
        
        schreiben muss, um dann in dem String aus der DB
        
        Code: (dl )
        
        $db_variable1
        
        und
        
        Code: (dl )
        
        $db_variable2
        
        zu ersetzen, dann kann ich das auch gleich mit einem simplen
        
        Code: (dl )
        
        s///
        
        aus dem DB-Ergebnis tun.
        
        Mir fällt kein Szenario ein, wo man das haben möchte, was hier gefragt war. Es verursacht nur Probleme, wenn man so programmiert. Was ist zum Beispiel, wenn man refaktorisiert und Variablen umbenennt oder gar irgendwie in ein Objekt einkapselt? Dann ist sofort das Template kaputt! Das Template sollte aber im besten Fall möglichst unabhängig von dem Programmcode sein.
      - pq
        
        2014-08-21 11:35
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        besser nicht machen.
        sei $text gleich @{[system '...']}
        dann wird interpoliert und system ausgeführt.
        man sieht, es gibt mehr zu beachten als man denkt.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- rosti
  
  2014-08-20 18:55
  
  User since
  2011-03-19
  3492 Artikel
  BenutzerIn
  
  Im Prinzip möchtest Du Templates in einer Datenbank speichern, ja selbstverständlich geht das zu machen; im Template stecken Platzhalter, welche dann mit Werten zu befüllen sind, so dass das Template dann gerendert ausgeliefert wird. Versus rendern gäbe es die Möglichkeit der Interpolation, d.h., die Platzhalter sind aus der Sicht des Scripts Variablen, z.B. $var.
  
  Am Besten schaust Du Dir mal eine Template-Engine an, wie Platzhalter aussehen, mal ganz allgemein. Es gibt Template-Engines, die bieten auch das Interpolieren an.
  
  Welche Template-Engine Du einsetzen wirst, das entscheidet die Praxis. Btw., die meisten Templates für meine Website sind auch in einer Datenbank gespeichert (z.Z. ca. 300 an der Zahl) und können somit auch durchsucht werden.
  
  Viele Grüße!

View all threads created 2014-08-20 18:07.