[Moscow.pm] Уязвимость при использовании dataTables и DBIx::Class
Питэр Рэббитсон
rabbit+moscowpm на rabbit.us
Ср Дек 30 11:36:00 PST 2015
On 12/24/2015 09:47 PM, Grigory Batalov wrote:
> Всем привет!
>
> Коллеги нашли в моём коде уязвимость, спешу поделиться, как не надо писать :)
dim0xff все уже правильно сказал, по возможности всегда пользуйтесь
quote_names => 1.
Только осталось добавить почему quote_names => 1 не стоит по умолчанию:
история та же самая как и use strict. Изначально (давно давно до меня)
никому не пришло в голову что наверное надо по умолчанию все таки умнее
себя вести. В результате сейчас гора кода где стоит например:
order_by => 'length(column)'
Если я поменяю дефолт, в результате народ просто перестанет апгрейдится
вобще. Turtles crying all the way down.
Такие дела
Подробная информация о списке рассылки Moscow-pm