потенциальная опасность

Александр Петросян (PAF) 02.10.2003 11:27

@create[name]
^process{…$name…}

даю два зуба на то, что через полгода кто-нибудь, а вовсе не вы сами, передаст в эту функцию что-то, пришедшее от пользователя.

вывод:
1. избегать подобного, если возможно. [покажите мне, где невозможно, обсудим]
2. если уж так хочется: очищать эти данные.

уже думал об этом какое-то время назад: вполне могу заткнуть эту потенциальную дыру: можно объявить, что
«нельзя process-ить строки с tainted кусками»:
в ^process можно проверить, что часть кода пришла от пользователя, и… выдать соответствующую ошибку.

лично я: за.
однако, уверен, есть и другие мнения :)

вопрос к авторитетной публике, smalex [M] 01.10.2003 20:01 / 01.10.2003 20:09
- Что плохо, egr 02.10.2003 10:58
- я совсем не авторитетная публика, на parser'е пишу недостаточно много, Александр Петросян (PAF) [M] 02.10.2003 10:08
  - невнимательны..., smalex [M] 02.10.2003 13:54
    - буквоедство, Александр Петросян (PAF) [M] 02.10.2003 13:59
      - опять :-), smalex [M] 02.10.2003 14:02
        да, не пройдет, однако я тебе вчера сказал еще:, Misha v.3 [M] 02.10.2003 14:20
        какой огород? вы о чём? :-), smalex [M] 02.10.2003 14:28 / 02.10.2003 14:28
        о огороде, Александр Петросян (PAF) [M] 02.10.2003 14:41
        ха!, smalex [M] 02.10.2003 14:46
        10<20 (-), Александр Петросян (PAF) [M] 02.10.2003 15:35
  - Про дыру согласен, egr 02.10.2003 11:12
    - потенциальная опасность, Александр Петросян (PAF) [M] 02.10.2003 11:27
      - process, - где этого избежать можно, но неудобно, egr 02.10.2003 11:53 / 02.10.2003 11:55
      - perl, Александр Петросян (PAF) [M] 02.10.2003 11:30
- я конечно не авторитетная публика, но... щас спою :), Misha v.3 [M] 01.10.2003 20:19 / 01.10.2003 20:25

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум