[SP-pm] [OT] Tutorial Catalyst
Renato Santos
renato.cron at gmail.com
Sun Oct 10 20:19:58 PDT 2010
Pessoal,
Tirei o domingo pra ver um pouco mais sobre catalyst...
Enquanto estava lendo o Catalyst::Manual::Tutorial::04_BasicCRUD (
http://search.cpan.org/~hkclark/Catalyst-Manual-5.8004/lib/Catalyst/Manual/Tutorial/04_BasicCRUD.pod
)
Depois de exemplificar um delete, explicou como passar parametros via GET
atravez de redirect:
Using 'uri_for' to Pass Query
Parameters<http://search.cpan.org/~hkclark/Catalyst-Manual-5.8004/lib/Catalyst/Manual/Tutorial/04_BasicCRUD.pod#___top>
Até ai (mesmo eu achando feio passar a mensagem via URL, pois com F5 a
mensagem se repete,rs!) acaba abrindo brecha para um XSS,
pois ao digitar
*http://localhost:3000/books/list?status_msg=Book+deleted.<script>
inicialmente, temos um BUG.*
O estranho é que até ja foi explicado que deve-se usar | HTML nos .TT para
filtrar esses campos.
A solução é alterar o [% status_msg || c.request.params.status_msg %] para [%
status_msg || c.request.params.status_msg | html %]
Devo mandar um e-mail para o Kennedy Clark, hkclark at gmail.com ? Ou alguém
aqui da lista consegue envia um Path pro CPAN corrigindo isto?
Ah,
mudando um pouco de assunto...
No segundo tutorial, utilizava-se .tt para views,
no terceiro, todas estão sendo criadas como .tt2, porém, a sintaxe para
criação (scripts/myapp_create.pl view TT TT) foi a mesma.
Não há diferença? ou novos recursos foram adicionados no tt2 e eu sou muito
newbie e ainda não fiz falta?
Att,
--
Renato Santos
http://www.renatocron.com/blog/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.pm.org/pipermail/saopaulo-pm/attachments/20101011/1724fdf7/attachment-0001.html>
More information about the SaoPaulo-pm
mailing list