[Moscow.pm] Новые книги не про Perl

[Varyanick I. Alex]

Здравствуйте, Andrew Shitov!

On Mon, Jul 13, 2009 at 09:35:07PM +0400, Вы писали:

> Искренне удивляюсь, какой словесный понос могут печатать издательства.

Почитал и вспомнил на счёт секьюрити в Web & Perl.

У меня был интересный инцедент при приёме на работу. Нужно было написать
мини веб-прилоожение, главный упор которого показать знания в области
засчиты (XSS, инъекции и т.д.) + показать в целом знания по Perl
(естественно).

Писал я на скорую руку (как обычно поздно ночью ;), сделал стандартный
механизм, диспатчер вызывает Веб хендлеры, и в веб-хендлере был подобный
код:

sub process {
    ($factory, $query) = __PACKAGE__->SUPER::process();

    my $object_id = shift();
    my $action    = shift();

    return undef if scalar(@_);

    return __PACKAGE__->$action($object_id);
}

$action диспатчером передаётся из урла, например:
/admin/news/5/delete

$object_id == 5
$action    == delete

Мой код естественно зафукали, ибо я вызываю $action без какой либо
валидации :) Но это всё потому что ввиду немалого кол-ва кода которое я
успел нафигачить, в диспатчере был таков регексп:
m!^/admin/news/(\d+)/(edit|delete)!

Тот кто проверял явно не разбираясь особо в моём коде, сказал что с
секьюрностью у меня всё плохо :)

Вот такие пирожки, вкусные, с котятами :D

-- 
Varyanick I. Alex
icq: 102 575 440
skype: cono..
q на cono.org.ua