Foro - Perl en Español

por **danimera** » 2007-11-11 08:37 @400

---------

¡Escape! ¡Use placeholders! ¡Use -T (tainting)! ¡Siempre comprueba que los datos contienen solo lo que es seguro, nunca trates de buscar algo que inseguro!

Es muy habitual que programadores incluyen variables en HTML, SQL, URLs y otras lugares similares sin escapar los símbolos que son especiales en ese contexto. O peor, sólo escapan uno o dos de esos símbolos.

Creo que todos ustedes han visto cosas así:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

print"<p>Blah blah blah $nombre blah blah.</p>";
# que pasa si $nombre contiene < por ejemplo?
printqq{<input type="text" name="blah" value="$blah">\n};
# que pasa si $blah contiene " ?
printqq{<img src="script.cgi?algo=$algo&otro=$otro">};
# que pasa si $algo o $otro contiene & por ejemplo?
my$sql="SELECT * FROM Table WHERE Nombre = '$nombre'";
# Que por demonios pasa si
#  $nombre = "hola'; delete from Table; select 'adios"; ???
Coloreado en 0.003 segundos,  usando GeSHi 1.0.8.4

Siempre tienes que escapar o comprobar que no necesitas escapar (por ejemplo si sabes con seguridad que $var es un número, no tienes por qué escaparlo).

Y cuando conectas a la base de datos siempre use los placeholders:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

my$sth=$dbh->prepare("SELECT * FROM Table WHERE Nombre = ?");
...
$sth->execute($nombre);Coloreado en 0.001 segundos,  usando GeSHi 1.0.8.4

es más seguro y más rápido, especialmente si buscas más nombres.

El parámetro -T en Perl te ayuda a saber qué datos son fijos en el script (y son seguros) y quienes vienen del cliente y son inseguros. Y ayuda a forzarte a comprobar los datos. Seguro si haces algo así, podría ser seguro:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

$inseguro=~/^(.*)$/;
my$seguro=$1;Coloreado en 0.001 segundos,  usando GeSHi 1.0.8.4

Sí, es verdad que ahora $seguro no está tainted, pero no has comprobado nada, los datos pueden ser inseguros. Debes ser más específico.

Por client state puedes usar los cookies, reglones (frames) ocultos en forms, parámetros en el query de un URL, uno de los módulos session, ...

danimera escribiste:21.We have had issue with spam being sent through contact forms using the Perl sendmail method by users including mail header in the fields. What solution would you propose?

No trates de enviar los correos usando el ejecutable sendmail. Usa uno de los montones de módulos de CPAN para enviar correos. Y comprueba que los datos que recibes de los forms son los que de verdad quieres aceptar.

danimera escribiste:29. You are a programmer for MySpace.com. Tom wants a new feature - people should be able to preview changes to their profiles before making them permanent. This includes the layout, the text, friends, top friends, photos, etc. The user can go into "preview mode" and review different configurations before making one live. What Design Pattern would you use? What is a potential problem with this feature?

Design Patterns es un término de márquetin. La mayoría de los famosos design patterns deberían formar parte del lenguaje de programación o algún módulo, pero algunas lenguajes lo impiden, así que tienes que reescribir casi el mismo código cada vez. En este caso no es posible decir casi nada sobre la implementación de este modo preview antes de conocer su código actual. La implementación podría ser fácil si los scripts leen los opciones por un módulo u objeto que puede ser modificado para trabajar en un modo preview y leer los datos de un lugar diferente de lo normal, pero también puede forzarte a cambiar muchísimo el código.

Foro - Perl en Español

Otra ayuda para otras preguntas que me hacen

Otra ayuda para otras preguntas que me hacen

Publicidad

Re: Otra ayuda para otras preguntas que me hacen

¿Quién está conectado?