[Moscow.pm] Уязвимость при использовании dataTables и DBIx::Class

[Grigory Batalov]

В Mon, 28 Dec 2015 15:49:29 +0300
Alexey Shrub <worldmind на mail.ru> пишет:

> On Пн, дек 28, 2015 в 12:35 , Ilya Chesnokov 
> <chesnokov.ilya на gmail.com> wrote:
> > Отсюда ноги и растут, видимо? Не стоит 
> > поддаваться искушению
> > передавать неотфильтрованные данные 
> > прямо в запрос? :-)
> 
> Погодьте, насколько я помню, даже DBI сам 
> экранирует входные данные если мы 
> запрос формируем как положено - через 
> placeholders, а почему этого не делают более 
> высокоуровневые модули?

Почитал SQL::Abstract, чтобы добиться вот этого:

ORDER BY ? DESC LIMIT ?: 'filename', '10'

нужно было составить запрос таким замысловатым образом:

order_by => { "-$direction" => \[ '?', $column ] }