[bottle] Sicherheitslücken

jens · Mittwoch 7. April 2010, 11:41

sma hat geschrieben:Später finde ich es ist schlechter Stil, eine Variable zuzuweisen und dann in der nächsten Zeile zurückzugeben
Code: Alles auswählen
    output = template(...)
    return output

Das ist Geschmackssache. Ich bevorzuge das in Django Applikationen. Der Vorteil ist, das man die Werte damit im Traceback sieht. Ob das in bottle auch so ist, weiß ich nicht.

noisefloor · Mittwoch 7. April 2010, 11:45

Hallo,

@sma: Einfach von Github forken, verbessern und an Defnull einen Pull-Request schicken.

Gruß, noisefloor

Defnull · Mittwoch 7. April 2010, 12:06

Die sql-injection Probleme sind korrigiert und die Änderungen von noisefloor (neue Kapitel) habe ich eingepflegt. Außerdem gibt es auf der Homepage nun einen Link zur neuen Dokuemntation (testing).

Wenn ihr Fehler in der Dokumentation findet oder Verbesserungsvorschläge habt, dann immer her mit den Patches. Meine Zeit wird leider gerade etwas knapp (Semesterbeginn) aber ich versuche, alles so schnell wie möglich um zu setzen. Am liebsten sind mir forks auf github oder diff-patches per e-mail/pastebin. Zur Not geht aber auch die gesamte Datei mit den eingepflegten Änderungen als e-mail oder pastebin, dann merge ich das selbst.

apollo13 · Mittwoch 7. April 2010, 17:08

snafu hat geschrieben:@apollo13: Beachte, dass `%s` hier durch `str(egg)` ersetzt wird. Und das wiederum ist abhängig davon, wie `egg` seine `__str__()`-Methode implementiert hat. Wird in SQL genau so vorgegangen? Ich kenne mich da nicht aus, würde aber vermuten, dass Lunar darauf hinaus wollte.

Ka, aber %s ist hier kein reines string format sondern nur ein place holder wie „?“. ich kann mir durchaus vorstellen, dass der Datenbank adapter das intern eh wieder durch „?“ ersetzt…