31C3 - Perl-Vortrag (Perl-Rant) (Perl-Community.de)

[thread]19439[/thread]

31C3 - Perl-Vortrag (Perl-Rant)

Tags: perl-community.de Rant CCC Ähnliche Threads

Leser: 25

Articles: hide open all | hide show old branches

+31 replies
Raubtier

2014-12-28 00:34

User since
2012-05-04
1076 Artikel
BenutzerIn

Hallo,

ist jemand von euch zufällig die Tage in Hamburg? Falls jemand von hier da ist, man könnte ja zusammen den Perl-Rant https://events.ccc.de/congress/2014/Fahrplan/event... ansehen. Kennt jemand den Speaker Netanel Rubin?

modedit Editiert von GwenDragon: Tags ergänzt
Last edited: 2015-12-30 13:29:42 +0100 (CET)
- +23 replies
- renee
  
  2014-12-28 10:33
  
  User since
  2003-08-04
  14371 Artikel
  ModeratorIn
  
  Schon an der Beschreibung seines Talks kann man erahnen, dass er nicht gerade ein Perl-Freund ist. Er ist der Entdecker des Bugzilla-Bugs: https://bugzilla.mozilla.org/show_bug.cgi?id=10748...
  OTRS-Erweiterungen (http://feature-addons.de/)
  Frankfurt Perlmongers (http://frankfurt.pm/)
  --
  
  Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
  Perl-Entwicklung: http://perl-services.de/
  - +22 replies
  - Raubtier
    
    2015-12-29 23:49
    
    User since
    2012-05-04
    1076 Artikel
    BenutzerIn
    
    Ja, das war reinstes "Perl ist fucked, stop using it".
    
    Vor allem scheint er zu erwarten, dass Funktionsaufrufe in Perl anders funktionieren: foo(@a) sollte seiner Meinung nach foo(\@a) sein, d.h. genau ein Argument liefern.
    
    Was mir allerdings neu war, dbi->quote nimmt noch einen weiteren Parameter - und wenn der "2" ist, wird das erste Argument als Zahl angesehen und nicht gequotet. D.h. $dbi->quote($cgi->param("X")) ist unsicher, weil ein Angreiger X="SQL injection code"&X=2 als Parameter übergeben könnte, womit Soderzeichen in der Injection dann nicht gequotet werden.
    - +21 replies
    - jan
      
      2015-12-30 02:28
      
      User since
      2003-08-04
      2536 Artikel
      ModeratorIn
      
      Ist der Talk als VOD schon verfügbar?
      - +20 replies
      - LS
        
        2015-12-30 07:10
        
        User since
        2011-03-29
        5 Artikel
        BenutzerIn
        
        Der Vortrag ist z.b. bei Youtube zu sehen:
        
        https://www.youtube.com/watch?v=gweDBQ-9LuQ
        
        Die Bugs ansich sind natürlich ganz interessant die Art der Präsentation und die Beispielcodes.. naja, das hätte man etwas sachlicher weniger reisserisch bringen können. Vor allem erweckt der gute Mann dabei den Eindruck, dass bestimmte Konzepte überhaupt nicht richtig verstanden hat und wirkt insgesamt sehr provokant in seinem Auftreten. Junge Rebellen halt :)
        d41d8cd98f00b204e9800998ecf8427e
        
        +4 replies
        
        renee
        
        2015-12-30 07:37
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        100%ACK. Die Bugs sind definitiv interessant (das mit quote() war mir auch neu, aber ich benutze sowieso nur "prepared statements"), aber man merkt schon vor dem Vortrag, dass er von der Sprache keine Ahnung hat. Und das List-flattening ist Bestandteil jeder Perl-Einsteigerschulung.
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        +3 replies
        
        GwenDragon
        
        2015-12-30 13:11
        
        User since
        2005-01-17
        14761 Artikel
        Admin1
        
        2014-12-30T06:37:37 renee
        (das mit quote() war mir auch neu, aber ich benutze sowieso nur "prepared statements")
        Wer sich mal mit SQL-Injections und den Hängen-und-Würgen von PHPs DB-Funktionen in Bezug auf Escaping/Quoting beschäftigt hat, meidet Funktionen, die sich quote() nennen ;) Mir geht's jedenfalls so.
        
        Dass Prepared Statements bei DBI einfacher zu nutzen sind, haben wohl nicht viele mitbekommen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        renee
        
        2015-12-30 14:29
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        2014-12-30T12:11:39 GwenDragon
        Wer sich mal mit SQL-Injections und den Hängen-und-Würgen von PHPs DB-Funktionen in Bezug auf Escaping/Quoting beschäftigt hat, meidet Funktionen, die sich quote() nennen ;) Mir geht's jedenfalls so.
        
        .oO( Merke: Wenn man Beispielcode für GwenDragon schreibt, mindestens eine Funktion "quote" einbauen ;-) )
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        GwenDragon
        
        2015-12-30 14:45
        
        User since
        2005-01-17
        14761 Artikel
        Admin1
        
        DROFFL. Dann aber bitte nur so Perl::Frauen->new->quote($self) or $alien->flamed ;)
        
        Ich gebs zu. Quoting bekommt bei PHP, CGI, JS, XSS & Co. ganz andere Bedeutungen. quote is not eval it's evil :)
        Last edited: 2015-12-30 14:47:10 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +5 replies
        
        rosti
        
        2015-12-30 10:14
        
        User since
        2011-03-19
        3492 Artikel
        BenutzerIn
        
        Selbstherrlicher Vortrag.
        
        DBI->quote(): Das ist ja völliger Quatsch, der hat das überhaupt nicht verstanden, denn quote() wird nicht als Klassenmethode verwendet, sondern als Methode einer Instanz und letztere ist an den Layer der Engine (MysqL, Oracle,...) gebunden. Nur so nämlich, werden unsichere Strings entsprechend der DB-Engine maskiert, eine Klassenmethode hingegen kennt die Engine noch gar nicht. Dasselbe gilt übrigens auch für quote_identifier().
        
        CGI: Dem sind sind wahrscheinlich die Begriffe 'Schlüsselparameter' und 'Parameter-Kontrollstruktur' absolute Fremdworte. Von CGI-Programmierung keine Ahnung aber Vorträge halten.
        
        Applaus!!!111
        
        renee
        
        2015-12-30 11:42
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        2014-12-30T09:14:12 rosti
        DBI->quote(): Das ist ja völliger Quatsch, der hat das überhaupt nicht verstanden, denn quote() wird nicht als Klassenmethode verwendet, [...] Nur so nämlich, werden unsichere Strings entsprechend der DB-Engine maskiert,[...]
        
        Es ist für den Bug völlig unerheblich. Der unsichere String wird gar nicht erst maskiert wenn als Typ-Parameter ein Standard-Zahlendatentyp übergeben wird.
        
        2014-12-30T09:14:12 rosti
        CGI: Dem sind sind wahrscheinlich die Begriffe 'Schlüsselparameter' und 'Parameter-Kontrollstruktur' absolute Fremdworte.
        Ja, und?
        2014-12-30T09:14:12 rosti
        Von CGI-Programmierung keine Ahnung aber Vorträge halten.
        Wo ist da der Zusammenhang?
        
        Den Vortrag über die Bugs zu halten finde ich gut. Nur das wie und das drumherum stört mich.
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        +2 replies
        
        LS
        
        2015-12-30 12:32
        
        User since
        2011-03-29
        5 Artikel
        BenutzerIn
        
        Ich denke mal der Kern des Problems ist hier die Herangehensweise, er hat ganz offensichtlich die Lücke nicht gefunden indem er den Quellcode analysiert hat, dafür wären etwas tiefere Kenntnisse der Sprache erforderlich gewesen. Vermutlich hat er nur mit einem Fuzzer gezielt entsprechende Requests produziert, dabei ist dann irgendwo mal was geplatzt und er hat es dann zurückverfolgt und aufgedröselt. Hat dabei dann gemerkt das es scheinbar keinen Sinn macht was er da sieht und hat sich dann das Nötigste angelesen.
        In dem Moment hat er dann abgebrochen und es kurzerhand alles als totale Scheiße abgestempelt - das ist natürlich schade weil ihm da ein paar Sachen entgangen sind und er es gar nicht ganz verstanden hat. Ziemlich verfahrene Situation, erfahrungsgemäss ist es dann auch nur sehr schwer möglich mit so jemandem noch sachlich darüber zu diskutieren, da wird dann sofort abgeblockt. Ich bin nur bissel erschrocken über den Zuspruch aus dem Publikum gewesen, aber vielleicht (ganz sicher) bin ich auch zu alt und daher voll doof und so :)
        
        *Tee trink und mitm Krückstock fuchtel*
        d41d8cd98f00b204e9800998ecf8427e
        
        renee
        
        2015-12-30 14:32
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        Viele sind anscheinend nur in den Vortrag gegangen um sich etwas anzuhören was Perl schlecht macht. Denn schon beim ersten "F*ck Perl" *vor* dem Vortrag gab es Applaus.
        
        Notiz für mich: beim nächsten Vortrag einen Titel wählen der scheinbar über Perl herzieht und dann eine Lobhudelei für Perl zeigen ;-)
        
        *Ebenfalls_ne_Tasse_Tee_trinkend*
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        pq
        
        2015-12-30 17:31
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2014-12-30T09:14:12 rosti
        Selbstherrlicher Vortrag.
        
        DBI->quote(): Das ist ja völliger Quatsch, der hat das überhaupt nicht verstanden, denn quote() wird nicht als Klassenmethode verwendet,
        
        das behauptet er ja auch nicht. es taucht nur in der form auf der folie auf. ich bin sicher, er ist intelligent genug, um zu wissen, dass man es mit $dbh benutzt.
        
        so oder so, im zusammenhang mit dem schlechten design von CGI->param (auch ich benutze hier diese form, obwohl ich weiss, dass es auf der instanz aufgerufen wird) kann es sein, dass aus versehen ein zweites argument übergeben wird. das ist der punkt, der im vortrag angesprochen wird. schau dir den vortrag nochmal an, diesmal mit dem wissen, dass er durchaus weiss, wie man DBI->quote aufruft.
        es ist kein bug in DBI, es ist kein bug in CGI, und mit sicherheit kein bug in perl. es ist schlechtes design von CGI, was zu bugs in CGI-programmen führt.
        
        Quote
        CGI: Dem sind sind wahrscheinlich die Begriffe 'Schlüsselparameter' und 'Parameter-Kontrollstruktur' absolute Fremdworte. Von CGI-Programmierung keine Ahnung aber Vorträge halten.
        
        es tut mir wirklich leid, aber wenn du nicht genauer erklärst, was diese begriffe genau mit dem gezeigen problem zu tun haben, ist es für mich nur mal wieder bullshit-bingo.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +10 replies
        
        GwenDragon
        
        2015-12-30 12:23
        
        User since
        2005-01-17
        14761 Artikel
        Admin1
        
        So ganz kapiere ich nicht, was das krude Konzept von CGI.pm mit Perl zu tun hat? CGI war schon immer krass
        gestrickt und unlogisch.
        
        Und der erzählt von Fehlern die ich schon 2004 nicht mehr beim Programmieren machte.
        
        Aber wer benutzt DBI->quote()? Wer mal gesehen hats was PHPler murksen, weiß dass quote schlecht funktioniert.
        
        Haha, Perl ist böse, weil schlechte Module die hilflosen Programmierer nicht zwingen, ihre eingelesenen Daten zu überprüfen. Tolle Wurst!
        
        Er hat vergessen, dass Linux auch ganz unsicher ist, es hat auch Perl mit drin als Systemtools zum Installieren. Uhhh, ahhh.
        
        Oh, Vortragsquälität: hauptsache ja ganz viel s*ck, f*ck^2, wtf, shitty sagen. So viel Druck, armer Kerl.
        
        PS: Er liebt wohl Python, denn die Schlange hat er ja schon um den Hals gewürgt ;)
        Last edited: 2015-12-30 12:48:32 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +7 replies
        
        rosti
        
        2015-12-30 14:11
        
        User since
        2011-03-19
        3492 Artikel
        BenutzerIn
        
        Quote
        Aber wer benutzt DBI->quote()? Wer mal gesehen hats was PHPler murksen, weiß dass quote schlecht funktioniert.
        
        Es funktioniert einwandfrei, wenn diese Methode nicht als Klassenmethode sondern über die Instanz aufgerufen wird. Wenn prepared Statemants zum Einsatz kommen, wird implizit quote() genutzt (das steht irgendwo in den Sourcen). Auch hier kommt die Instanz (DBHandle) ins Spiel, womit $DBH->quote() dem DB-Engine-Layer entsprechend maskiert. DBI->quote() als Aufruf über die Klasse ist Unfug.
        
        Praxisnah: Ggf. ist ein multiple Insert effizienter als ein prepared Statement. Multiple Insert ist ein Fall für quote().
        
        quote_identifier() maskiert Feldnamen, Tabellennamen, also die Bezeichner und das setze ich immer dann ein, wenn Bezeichner nicht fest im Code verdrahtet sind sondern bspw. von außen her konfigurierbar sind.
        
        CGI: Wie ein Enctype="application/x-www-form-urlencoded" oder "multipart/form-data" auszusehen hat, steht in uralten RFCs. Wer CGI.pm nicht mag, darf sich gerne einen eigenen Parser schreiben. Für den richtigen Umgang mit Schlüsselparametern und Parameter-Kontrollstrukturen ist das völlig belanglos, solange der Parser RFC-gerecht programmiert ist, was im CGI.pm mit Sicherheit der Fall ist.
        
        +6 replies
        
        renee
        
        2015-12-30 15:26
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        2014-12-30T13:11:39 rosti
        Es funktioniert einwandfrei, wenn diese Methode nicht als Klassenmethode sondern über die Instanz aufgerufen wird.
        
        Ich glaube, Du hast den Bug nicht verstanden. Der Bug liegt nicht darin, dass es nicht als Instanzmethode aufgerufen wurde, sondern das Handling des zweiten Parameters der quote-Methode.
        
        Vergleiche:
        
        Code: (dl )
        
        1 2 3 4 5 6 7
        
        use DBI; my $dbh = DBI->connect("DBI:mysql:dbname:host","user","password"); # hier natürlich richtige Werte einsetzen print $dbh->quote("admin'"); __END__ Ausgabe: 'admin\''
        
        mit
        
        Code: (dl )
        
        1 2 3 4 5 6 7
        
        use DBI; my $dbh = DBI->connect("DBI:mysql:dbname:host","user","password"); # hier natürlich richtige Werte einsetzen print $dbh->quote("admin'",2); __END__ Ausgabe: admin'
        
        Quote
        Praxisnah: Ggf. ist ein multiple Insert effizienter als ein prepared Statement. Multiple Insert ist ein Fall für quote().
        
        ???
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
        
        use strict; use warnings; use DBI; use feature 'say'; my $dbh = DBI->connect("DBI:mysql:quote_test:localhost","user","test"); my $sql = 'INSERT INTO test (id, name, result) VALUES '; my @tests = ( [ 1, 'quote', 'ok' ], [ 2, 'rose', 'nok' ], [ 3, 'blue', 'ok' ], [ 4, 'hex', 'nok' ], [ 5, 'quote', 'ok' ], ); my (@binds,@tests_sql); for my $test ( @tests ) { push @tests_sql, '(?,?,?)'; push @binds, @{$test}; } $sql .= join ',', @tests_sql; my $sth = $dbh->prepare( $sql ); $sth->execute(@binds);
        
        Quote
        quote_identifier() maskiert Feldnamen, Tabellennamen, also die Bezeichner und das setze ich immer dann ein, wenn Bezeichner nicht fest im Code verdrahtet sind sondern bspw. von außen her konfigurierbar sind.
        Um quote_identifier geht es aber nicht.
        
        Quote
        CGI: Wie ein Enctype="application/x-www-form-urlencoded" oder "multipart/form-data" auszusehen hat, steht in uralten RFCs. Wer CGI.pm nicht mag, darf sich gerne einen eigenen Parser schreiben. Für den richtigen Umgang mit Schlüsselparametern und Parameter-Kontrollstrukturen ist das völlig belanglos, solange der Parser RFC-gerecht programmiert ist, was im CGI.pm mit Sicherheit der Fall ist.
        
        Was verstehst Du unter Schlüsselparametern und Parameter-Kontrollstrukturen
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        +5 replies
        
        rosti
        
        2015-12-30 18:02
        
        User since
        2011-03-19
        3492 Artikel
        BenutzerIn
        
        Code (perl): (dl )
        
        print $dbh->quote("admin'",2);
        
        Das ist mit Sicherheit der falsche Datentyp. SQL_VARCHAR liefert bei mir eine 12 (zwölf). Die Konstanden können auch importiert werden.
        
        Quote
        Was verstehst Du unter Schlüsselparametern und Parameter-Kontrollstrukturen
        
        Hier http://rolfrost.de/progforum.html (letzter Abschnitt) und auf einigen anderen Seiten schreibe ich darüber. Alte Schule ;)
        
        pq
        
        2015-12-30 18:24
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2014-12-30T17:02:39 rosti
        
        Code (perl): (dl )
        
        print $dbh->quote("admin'",2);
        
        Das ist mit Sicherheit der falsche Datentyp. SQL_VARCHAR liefert bei mir eine 12 (zwölf). Die Konstanden können auch importiert werden.
        
        [ ] du hast den "bug" verstanden.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +3 replies
        
        renee
        
        2015-12-30 18:25
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        2014-12-30T17:02:39 rosti
        
        Code (perl): (dl )
        
        print $dbh->quote("admin'",2);
        
        Das ist mit Sicherheit der falsche Datentyp. SQL_VARCHAR liefert bei mir eine 12 (zwölf). Die Konstanden können auch importiert werden.
        Entweder Du hast Dir den Vortrag nicht angeschaut oder Du hast es nicht verstanden. Es gibt Code, in dem so etwas zu finden ist:
        
        Code (perl): (dl )
        
        my $sql = '.... = ' . $dbh->quote( $cgi->param('user') );
        
        Wenn jetzt in den Parametern so etwas steht
        
        Code: (dl )
        
        ?user=admin'&user=2
        
        , dann wird quote("admin'", 2) aufgerufen was zu dem fehlenden quoting des ' führt. Egal was da für Konstanten im Modul zu finden sind.
        
        Quote
        Quote
        Was verstehst Du unter Schlüsselparametern und Parameter-Kontrollstrukturen
        
        Hier http://rolfrost.de/progforum.html (letzter Abschnitt) und auf einigen anderen Seiten schreibe ich darüber. Alte Schule ;)
        
        Ok, hat also nix mit dem Thema zu tun...
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        +2 replies
        
        rosti
        
        2015-12-30 18:44
        
        User since
        2011-03-19
        3492 Artikel
        BenutzerIn
        
        Ich habe den Vortrag nur oberflächlich angeschaut, das gebe ich gerne zu. Aber wenn ich jetzt im Detail sehe, was der Referent tatsächlich vor laufender Kamera angestellt hat, dann muss mir das nicht leid tun.
        
        Schlüsselparameter u.a. http://rolfrost.de/progforum.html
        
        Quote
        Ok, hat also nix mit dem Thema zu tun...
        
        Oh doch, ne ganze Menge: Es hat was mit Praxis zu tun. Das ist wie mit den Fotografen, die von schlechten Gläsern reden nachdem sie keine einzige Aufnahme wackelfrei hingekriegt haben.
        
        renee
        
        2015-12-30 18:59
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        Die von Dir gestalteten Begriffe sind für das hier diskutierte Problem völlig irrelevant, weil das "User" in meinem Beispiel kein "Schlüsselparametert" ist und für den Ablauf einer Anwendung unerheblich ist.
        
        Du solltest Dir den Vortrag mal anschauen wenn Du hier so mitdiskutierst.
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        +2 replies
        
        renee
        
        2015-12-30 15:01
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        2014-12-30T11:23:44 GwenDragon
        So ganz kapiere ich nicht, was das krude Konzept von CGI.pm mit Perl zu tun hat?
        Für viele ist Perl == CGI.pm weil es zu Zeiten der DotCom-Blase sehr häufig eingesetzt wurde und viele sich sonst nicht mit Perl beschäftigt haben
        
        2014-12-30T11:23:44 GwenDragon
        Und der erzählt von Fehlern die ich schon 2004 nicht mehr beim Programmieren machte.
        Naja, den Fehler mit Listkontext bei der Hasherzeugung sehe ich relativ regelmäßig.
        
        2014-12-30T11:23:44 GwenDragon
        Aber wer benutzt DBI->quote()? Wer mal gesehen hats was PHPler murksen, weiß dass quote schlecht funktioniert.
        PHP vermeide ich wo es geht ;-)
        
        $dbh->quote nutzen relativ viele http://grep.cpan.me/?q=\%24dbh-%3Equote\%28
        
        modedit Editiert von GwenDragon: URL repariert
        Last edited: 2015-12-30 15:50:21 +0100 (CET)
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        GwenDragon
        
        2015-12-30 15:53
        
        User since
        2005-01-17
        14761 Artikel
        Admin1
        
        2014-12-30T14:01:55 renee
        2014-12-30T11:23:44 GwenDragon
        Und der erzählt von Fehlern die ich schon 2004 nicht mehr beim Programmieren machte.
        Naja, den Fehler mit Listkontext bei der Hasherzeugung sehe ich relativ regelmäßig.
        Ja, ich habe auch sowas schon öfters in Fremdcode gesehen.
        
        Listen und Hash, das mach ich nur, wenn erlaubte übergebene Optionen in Konstrukturen schon voreingestellte im Hash überschrieben sollen.
        
        Wer einmal drüber gefallen ist, hat lernt das, genauer anzusehen und besser zu machen.
        Last edited: 2015-12-30 15:55:16 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +6 replies
- pq
  
  2015-12-30 17:21
  User since
  2003-08-04
  12208 Artikel
  Admin1
  hauptproblem ist IMHO CGI->param. die allermeisten aufrufe von param wollen eigentlich nur einen wert haben, daher sollte es eine extra-methode geben, wenn man mehrere werte erwartet.
  
  Aber: CGI wollen wir ja eh nicht mehr benutzen, daher fliegt es ja auch ab 5.22 raus!
  diese tatsache hat er aber weitgehend ignoriert.
  
  Plack::Request, Dancer2, Mojolicious zum beispiel sind alle anders gestrickt.
  
  Plack::Request->parameters liefert Hash::MultiValue
  
  Code (perl): (dl )
  
  1 2 3
  
  my $foo = $hash->{foo}; # 'b' (the last entry) my $foo = $hash->get('foo'); # 'b' (always, regardless of context) my @foo = $hash->get_all('foo'); # ('a', 'b')
  
  Dancer2: my $foo = params->{foo}
  es steht allerdings nicht in der doku, ob man automatisch eine arrayref kommt, aber aus versehen eine liste ist hier auch nicht möglich.
  
  Mojolicious:
  
  Code (perl): (dl )
  
  1 2 3
  
  my @names = $req->param; my $value = $req->param('foo'); my ($foo, $bar) = $req->param(['foo', 'bar']);
  
  hier muss man also explizit eine array-referenz übergeben, somit ist hier aus versehen auch nichts zu exploiten.
  
  DBI->quote ist IMHO der falsche angeklagte hier. wenn man übrigens sybase verwendet, hat man eh probleme mit dem einfachen prepare und execute mit platzhaltern, da wird die benutzung von quote unter umständen einfacher.
  
  und list-flattening ist etwas, was man einmal verstehen und akzeptieren muss. wenn man es absolut nicht mag, muss man eben zu python oder sonstwohin wechseln.
  Last edited: 2015-12-30 17:33:29 +0100 (CET)
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
  - +4 replies
  - renee
    
    2015-12-30 19:01
    
    User since
    2003-08-04
    14371 Artikel
    ModeratorIn
    
    Ich finde schon, dass es ein Bug in quote ist wenn nicht-Zahlenwerte ungeprüft zurückgegeben werden nur weil es behauptet wird es sei ein Zahlenwert.
    OTRS-Erweiterungen (http://feature-addons.de/)
    Frankfurt Perlmongers (http://frankfurt.pm/)
    --
    
    Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
    Perl-Entwicklung: http://perl-services.de/
    - pq
      
      2015-12-30 19:47
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      von dem standpunkt aus kann ich es verstehen. bleibt die frage, wie intelligent die methode dann implementiert werden müsste, wenn bei jedem datentyp erst gecheckt werden muss, ob es der typ ist, der vorgegeben wurde... müsste man mal tim fragen.
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +2 replies
    - rosti
      
      2015-12-30 20:11
      
      User since
      2011-03-19
      3492 Artikel
      BenutzerIn
      
      2014-12-30T18:01:29 renee
      Ich finde schon, dass es ein Bug in quote ist wenn nicht-Zahlenwerte ungeprüft zurückgegeben werden nur weil es behauptet wird es sei ein Zahlenwert.
      
      Ok, darüber könnten wird streiten ;)
      
      Aber mal was aus meiner Praxis, bzw, was nicht in meiner Praxis vorkommt:
      
      Code (perl): (dl )
      
      $dbh->quote($self->param('name'));
      
      Denn: Das Erste, was einer Benutzereingabe in meinen Anwendungen widerfährt ist:
      
      Code (perl): (dl )
      
      $name = $self->trim( $self->param('name') ); # trim macht ein shift
      
      Also, Leerzeichen am Anfang und Ende raus und so wird, wie von Zauberhand bewegt, der scalare Kontext erreicht.
      Last edited: 2015-12-30 20:13:00 +0100 (CET)
      - renee
        
        2015-12-30 21:07
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        2014-12-30T19:11:51 rosti
        Aber mal was aus meiner Praxis, bzw, was nicht in meiner Praxis vorkommt:
        
        Code (perl): (dl )
        
        $dbh->quote($self->param('name'));
        
        Die Betonung liegt dabei, dass es *Deine* Praxis ist. Auch bei *vielen* anderen dürfte man diesen Code so nicht finden. Aber es gibt genug Gegenbeispiele und darum geht's ja.
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
  - barney
    
    2015-12-30 20:45
    
    User since
    2008-08-31
    170 Artikel
    BenutzerIn
    
    Eine ziemlich klare Diskussion, wie man als API-Designer mit den Kontexten umgeht hat Aaron Crane geliefert, Calamitous Context.
    Sein Fazit ist: don’t write context-sensitive functions.
    
    Im Falle von CGI::param() ist aber die Kontextsensitivität nur ein Kleinigkeit. Dass bei multiplen CGI-Parametern die Liste der Werte zurückgebeben wird ist der Standardfall. Im skalaren Kontext wird der erste Wert zurückgeliefert. Ohne die Fallunterscheidung würde halt der letzte Wert zugewiesen werden.
- Struppi
  
  2015-12-31 13:24
  User since
  2006-02-17
  628 Artikel
  BenutzerIn
  Da muss ich mich auch mal wieder einschalten.
  
  Ich hatte diesen Bug schon im Oktober verfolgt und verswtehe nicht, wie jemand auf die 'Idee kommt, dass das ein Perl Problem ist. Letztlich ist es ein "Programmierer" Problem, denn es werden zwei grundsätzliche Dinge nicht beachtet.
  
  * prüfe Eingabe von aussen!
  * use warnings (und strict)
  
  Wer wirklich cgi->param nutzt ohne zu prüfen ob tatsächlich ein Wert übergeben wurde erzeugt eine Warnung. Daher ist in menen Code immer ein || '' hintendran.
  
  Code (perl): (dl )
  
  $cgi->param('x') || ''
  
  Dadurch habe ich keine Warnungen und auch keine Listen wo ich keine Listen will. Wer das nicht beachtet sollte seinen Code noch mal genauer betrachten.
  
  Die in dem Vortrag darüber hinaus gennanten "Unstimmigkeiten" zeugen eher vom Nichtwissen. Ich erwarte genau diese Art der Auflösung von Arrays, die er dort kritisiert.
  Last edited: 2015-12-31 14:07:47 +0100 (CET)

View all threads created 2014-12-28 00:34.