[Moscow.pm] Уязвимость при использовании dataTables и DBIx::Class
Dmitry L.
dim0xff на gmail.com
Пн Дек 28 04:54:13 PST 2015
Через placeholders передаются аргументы для поелй, а не сами поля в БД.
2015-12-28 15:49 GMT+03:00 Alexey Shrub <worldmind на mail.ru>:
> On Пн, дек 28, 2015 в 12:35 , Ilya Chesnokov <chesnokov.ilya на gmail.com>
> wrote:
>
> Отсюда ноги и растут, видимо? Не стоит поддаваться искушению передавать
> неотфильтрованные данные прямо в запрос? :-)
>
>
> Погодьте, насколько я помню, даже DBI сам экранирует входные данные если мы
> запрос формируем как положено - через placeholders, а почему этого не делают
> более высокоуровневые модули?
>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org
>
--
//wbr, Dmitry L.
Подробная информация о списке рассылки Moscow-pm