[Moscow.pm] Уязвимость при использовании dataTables и DBIx::Class
Grigory Batalov
grisxa на gmail.com
Пн Дек 28 05:13:09 PST 2015
В Mon, 28 Dec 2015 15:49:29 +0300
Alexey Shrub <worldmind на mail.ru> пишет:
> On Пн, дек 28, 2015 в 12:35 , Ilya Chesnokov
> <chesnokov.ilya на gmail.com> wrote:
> > Отсюда ноги и растут, видимо? Не стоит
> > поддаваться искушению
> > передавать неотфильтрованные данные
> > прямо в запрос? :-)
>
> Погодьте, насколько я помню, даже DBI сам
> экранирует входные данные если мы
> запрос формируем как положено - через
> placeholders, а почему этого не делают более
> высокоуровневые модули?
Почитал SQL::Abstract, чтобы добиться вот этого:
ORDER BY ? DESC LIMIT ?: 'filename', '10'
нужно было составить запрос таким замысловатым образом:
order_by => { "-$direction" => \[ '?', $column ] }
Подробная информация о списке рассылки Moscow-pm