[Moscow.pm] Новые книги не про Perl
Varyanick I. Alex
q на cono.org.ua
Пн Июл 13 15:29:38 PDT 2009
Здравствуйте, Andrew Shitov!
On Mon, Jul 13, 2009 at 09:35:07PM +0400, Вы писали:
> Искренне удивляюсь, какой словесный понос могут печатать издательства.
Почитал и вспомнил на счёт секьюрити в Web & Perl.
У меня был интересный инцедент при приёме на работу. Нужно было написать
мини веб-прилоожение, главный упор которого показать знания в области
засчиты (XSS, инъекции и т.д.) + показать в целом знания по Perl
(естественно).
Писал я на скорую руку (как обычно поздно ночью ;), сделал стандартный
механизм, диспатчер вызывает Веб хендлеры, и в веб-хендлере был подобный
код:
sub process {
($factory, $query) = __PACKAGE__->SUPER::process();
my $object_id = shift();
my $action = shift();
return undef if scalar(@_);
return __PACKAGE__->$action($object_id);
}
$action диспатчером передаётся из урла, например:
/admin/news/5/delete
$object_id == 5
$action == delete
Мой код естественно зафукали, ибо я вызываю $action без какой либо
валидации :) Но это всё потому что ввиду немалого кол-ва кода которое я
успел нафигачить, в диспатчере был таков регексп:
m!^/admin/news/(\d+)/(edit|delete)!
Тот кто проверял явно не разбираясь особо в моём коде, сказал что с
секьюрностью у меня всё плохо :)
Вот такие пирожки, вкусные, с котятами :D
--
Varyanick I. Alex
icq: 102 575 440
skype: cono..
q на cono.org.ua
Подробная информация о списке рассылки Moscow-pm