[Moscow.pm] Уязвимость при использовании dataTables и DBIx::Class

Пн Дек 28 03:35:38 PST 2015

В Mon, 28 Dec 2015 00:35:48 +0300
Ilya Chesnokov <chesnokov.ilya на gmail.com> пишет:


> > DBIx::Class же умеет сортировать выборку из таблицы в базе данных
> > (resultset) так: search( {...}, { order_by => { -desc =>
> > 'filename' } } ). Заманчиво указать прямо здесь параметры,
> > полученные от dataTables :)
> >
> >     my $files = $schema->resultset('File')->search(
> >        { purge => 0 },
> >        { order_by => { "-$sort_direction" => $sort_column }
> >     );
> 
> Отсюда ноги и растут, видимо? Не стоит поддаваться искушению
> передавать неотфильтрованные данные прямо в запрос? :-)

Безусловно! :)