ACHTUNG. Das ist ein Archiv des alten forum.ruby-portal.de. Die aktuelle Mailingliste gibt es auf lists.ruby-lang.org/pipermail/ruby-de.

NOTICE. This is a ready-only copy of the old forum.ruby-portal.de. You can find the current mailing list at lists.ruby-lang.org/pipermail/ruby-de.

Die Programmiersprache Ruby

Blog|

Forum|

Wiki  


Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]

Ein neues Thema erstellen Auf das Thema antworten  [ 5 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Helpermethoden - Wie sicher?
BeitragVerfasst: 24 Aug 2013, 17:29 
Offline
Schüler

Registriert: 01 Mai 2013, 18:34
Beiträge: 24
Hallo @all,

da mein Projekt nun so richtig Form annimmt stellen sich so langsam die letzten Fragen. Bin mir sicher dass das schon einmal vom Dozent erwähnt wurde aber ich kann mich nicht mehr dran erinnern.

Wie sicher sind denn die Helper-Methoden?

Wie anfällig sind z.b. f.text_field :name gegen SQL-Injection?

Was sollte man noch alles beachten?

Vielen Dank im Vorraus

Mfg


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: Helpermethoden - Wie sicher?
BeitragVerfasst: 26 Aug 2013, 08:10 
Offline
Interpreter

Registriert: 10 Dez 2007, 17:37
Beiträge: 1906
Die erste Frage ist, was meinst du mit Helper? Zielst du auf die von Rails mit gelieferten View Helper ab? Dann ist die Frage welche Rails Version hast du denn? Gegen SQL-Injection können die View Helper nichts machen. Bei SQL Injection geht es ja daraum, das dir in den Parametern SQL Befehle untergeschoben werden. Da musst du darauf achten, das du diese nicht direkt als SQL Befehle nutzt.

Wo dir die Helper helfen können ist z.b. bei script injection. Bei Rails 3 werden Werte aus der Datenbank automatisch escaped, so das man da etwas sicher sein kann. Bei Helpern die du selber schreibst musst du selbst darauf achten.

_________________
Grüße
Jack


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: Helpermethoden - Wie sicher?
BeitragVerfasst: 27 Aug 2013, 14:08 
Offline
Schüler

Registriert: 01 Mai 2013, 18:34
Beiträge: 24
Okey vielen Dank für die Antwort.

Ja ich hab die von Rails bereitgestellten View-Helper gemeint.

Mfg


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: Helpermethoden - Wie sicher?
BeitragVerfasst: 28 Aug 2013, 13:03 
Offline
Interpreter
Benutzeravatar

Registriert: 03 Jul 2006, 14:53
Beiträge: 4872
Wohnort: RLP
slowjack2k hat geschrieben:
Wo dir die Helper helfen können ist z.b. bei script injection. Bei Rails 3 werden Werte aus der Datenbank automatisch escaped, so das man da etwas sicher sein kann. Bei Helpern die du selber schreibst musst du selbst darauf achten.


Bei Rails 3 wird _alles_ durch die Template-Engine escaped, was nicht vorher als "sicher" markiert ist (mittels String#safe). Das betrifft auch eigene Helper. Insofern sind Rails-Helper sehr sicher, aber verlangen einen extra Schritt, wenn HTML generierst.


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: Helpermethoden - Wie sicher?
BeitragVerfasst: 28 Aug 2013, 13:54 
Offline
Interpreter

Registriert: 10 Dez 2007, 17:37
Beiträge: 1906
Skade hat geschrieben:
... was nicht vorher als "sicher" markiert ist (mittels String#safe). Das betrifft auch eigene Helper. Insofern sind Rails-Helper sehr sicher, aber verlangen einen extra Schritt, wenn HTML generierst.


Das ist genau der Punkt. Anfänger neigen an der Stelle dazu, das gesamte Ergebnis als safe zu markieren,
damit die eigenen Formatierungen funktionieren. Womit die ganze Funktion seine Sicherheit wieder verliert.

_________________
Grüße
Jack


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 5 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
cron