Alexander (HH): URLs verschlüsseln

Beitrag lesen

Das mußt du also zwingend serverseitig prüfen, denn alles, was vom User zurückkommt, ist potentiell böse

AMEN! Das sollte jedem, der irgendeine Software mit Netwerkanbindung oder User-Interaktion schreibt, intensivst eingebleut werden.

Leider vergeigen auch riesige Firmen immer noch die Überprüfung der Daten, mit denen ihre Client-, Server- oder Anwendungssoftware arbeiten. Jede Anwendung sollte davon ausgehen, dass ALLE Benutzereingaben und ALLE Daten aus dem Netz sowie ALLE Dateien bösartig sind, bis eine Validierung das Gegenteil beweist.

Perls Taint-Mode ist ein kleiner Schritt in die richtige Richtung, der zumindest die Weitergabe von unvalidierten Eingaben an kritische Betriebssystemfunktionen unterbindet.

Alexander