Siechfred: formular - value und name modern parsen

Beitrag lesen

Hallo Struppi.

Was ist eigentlich der Vorteil davon eine zusätzliche Variabel anzulegen von einem Wert, der sowieso schon zu verfügung steht?

Naja, ich vermute, dass hier der Gedanke des Taintmodus dahinter stecken könnte.

print CGI::param('einBeispiel');

Allerdings werden (so sagen mir meine bescheidenen Englischkenntnisse) Argumente für print-Anweisungen nicht als "tainted" behandelt und somit nicht geprüft:

http://www.perldoc.com/perl5.8.0/pod/perlsec.html#DESCRIPTION, nach dem 4. Absatz.

parse_form ist absolut überflüssig.

Das sehe ich grundsätzlich nicht so. Nach meiner Meinung sollte jede Ausgabe von außen auf ihre Sicherheit geprüft werden (was zugegebenermaßen im Ausgangscode nicht gemacht wird). Vor diesem Hintergrund erscheint mir eine Subroutine, welche die Parameter auf Verträglichkeit prüft und die geprüften Parameter als Hash auswirft, durchaus sinnvoll, denn auch eine print-Anweisung kann mit entsprechenden Argumenten versehen "böse" sein. Um Missverständnissen vorzubeugen, die Subroutine parse_form() ist im speziell geposteten Code überflüssig, da sie das nicht tut, was ich eben schrieb. Allerdings halte ich deinen Vorschlag weiter oben ohne weiteres "Drumherum" ebenso für nicht gut.

Grüße
Siechfred