Spørsmål ang. sikkerhet i CGI

[handuet]

Hei!

Jeg vil gjerne sikre programmene mine som henter informasjon fra en bruker (skjema) og bruker den et sted. Hvis jeg luker ut html-koder og kjører i taint-modus, vil dette ta hindre at skriptet blir cracket?

[tvangsgreie]

Det hjelper, men det er egentlig så mange måter man kan bryte seg inn på, pga. feil man kan gjøre, at det tar for lang tid å begynne å ramse opp alle. En nokså vanlig feil er å ukritisk putte variabler inn i SQL-felt. Du må unngå at de kan legge inn f.eks '; drop table ViktigeData. Bruk $dbh->quote eller placeholders.

Endret 15. mars 2005 av tvangsgreie

[handuet]

Så det å luke ut alle spesialtegn er ikke nok? Hvis jeg kjører i taint, så begrenser vel det skaden som kan gjøres?

[mysjkin]

Litt sent, men..

 

Å kjøre i taint, gjør at perl ikke vil bruke data som kommer fra potensielt usikre kilder, men etter at du har behandlet (med en passende definisjon av behandlet) dataene, stoler perl på at du har gjort en god jobb og tygger videre på det du har. Det er ikke noe som helst problem å lage en funksjon som gir deg nøyaktig samme streng tilbake, men som for perl ser ut som en 'de-tainting' så det eneste taint gjør, er å advare deg om potensielt farlige data, det er opp til deg å plukke ut det 'farlige' (evt med hjelp av ferdige moduler på cpan eller distribuert med perl)

 

Dersom dataene fra skjemaet påvirker sql-spørringer, er det som tvang sier viktig å passe på hva slags sql du sitter igjen med, som regel vil bruk av $dbh->prepare og placeholders være gunstig både mht sikkerhet og ytelse.

 

lykke til

 

(Dersom du er litt mer konkret med hva du vil, vil nok noen her kunne komme med noen mer konkrete tips om hva du skal gjøre)

 

M.