Thursday, July 26, 2007

Plat_Forms - Die Quellcodes sind da!

Ich habe hier ja schon mehrfach über den Plat_Forms-Contest berichtet. Jetzt sind auch endlich die Quellcodes online. Mal sehen wann ich Zeit habe, zumindest die Perl-Lösungen ein wenig zu analysieren.

Was mich am meisten verwundert ist der Ausschnitt
Perl was the only platform for which all three solutions' SQL handling did not resist even a simple form of manipulated HTTP requests (see Figure 7.1).

Auf den ersten Blick sieht es so aus, als würden die drei Perl-Teams DBIx::Class verwenden (oder zumindest Framework-eigene Subklassen von DBIx::Class), das DBI mit Bind parameters verwendet und somit SQL-Injections nahezu ausschließen sollte. Ich habe mal Prof. Prechelt eine Mail geschrieben ob er die "Angriffe" veröffentlich kann. Ich hoffe, ich bekomme bald Antwort...

No comments: