Visualizzazione dei risultati da 1 a 3 su 3
  1. #1

    E' Sicuro il modulo CGI.pm ?

    Salve a tutti,
    Vorrei sapere se è sicuro utilizzare il modulo CGI.pm.
    mi spiego meglio:
    So che attraverso la QUERY_STRING è possibile passare ad uno script delle istruzioni che possono creare problemi se non opportunamente "filtrate".
    Per cui nei miei script ho sempre inserito degli elementi di filtraggio per quanto riguarda il contenuto degli input GEt e POST.
    Se non ricordo male le subs che uso per il filtraggio me le aveva fatte avere Shishii.
    Ora, dato che vorrei usare il modulo in oggetto, vorrei sapere se i valori che ottengo dal modulo esempio:

    $offset = $q->param('offset');

    sia opportunamente "filtrato" e sicuro.

    Che mi dite ? Mi posso fidare ? O magari c'è qualche altra fregatura nell'uso del modulo CGI.pm???

    Grazie

  2. #2
    Il problema è mal posto.

    CGI.pm è un modulo che consente la manipolazione più semplice delle varie operazioni CGI. Il filtraggio degli input è a carico del programmatore. Non so di funzioni automatizzate tipo alcune esistenti in PHP, ma non ne sento la mancanza.

    Per capirci, se non hai necessità particolari ti basta fare:

    die "Errore caratteri non ammessi nella query" if ($q->param('offset') !~ /[a-zA-Z0-9_ -]+/);

    ed eviti qualunque possibile carattere maligno.
    Marco Allegretti
    shishii@tiscalinet.it
    Lang: PERL, PHP, SQL.
    Linux user n° 268623 Fedora Core 10, Fedora Core 6, Debian Sarge on mips

  3. #3
    Si, ho capito.
    Pensavo che magari il modulo già bloccase questi caratteri "maligni". Mettero allora la tua espressione regolare tanto per stare tranquilli.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.