[Moscow.pm] Уязвимость при использовании dataTables и DBIx::Class

Пн Дек 28 05:31:43 PST 2015

В Mon, 28 Dec 2015 15:53:28 +0300
"Dmitry L." <dim0xff на gmail.com> пишет:

> А если у меня quote_chars включены, то запрос будет таким? Он
> отработает вообще?
> 
> ORDER BY `me`.`id`, `(select 1 from (SELECT name, CASE name='first'
> WHEN FALSE THEN pg_sleep(0) ELSE pg_sleep(10) END from users) as t
> limit 1)` ASC

Добавил параметр quote_names в соединение с БД

    my $db = MyProject->connect( ... ,
        {
            AutoCommit     => 1,
            pg_enable_utf8 => 1,
            quote_names    => 1,
        }
    );

Сырой SQL-запрос стал таким, и, конечно, не сработал из-за отсутствия
колонки:

... ORDER BY "me"."id, (select 1 from (SELECT name, CASE name='first' WHEN FALSE THEN pg_sleep(0) ELSE pg_sleep(10) END from users) as t limit 1)" ASC LIMIT ?: '10'

Спасибо, буду использовать впредь!