[Allegro] insert mehrerer Kategorien

Thomas Berger ThB at Gymel.com
Do Feb 25 10:14:11 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Lieber Herr Eversberg,

>> Vb 225 erwaehnt noch einmal die Umwandlung _^J#_;#_ eines
>> eingelesenen Datensatzes.
>>
>> "insert" ohne alles zum Einmischen der iV in den aktuellen Datensatz
>> wurde erst mit V29 eingefuehrt / zuerst dokumentiert und enthaelt den
>> Hinweis, dass der Feldtrenner nicht wie bei a99 der Zeilenumbruch ist,
>> sondern ";#".
>>
> Nein, es wurde nicht neu eingeführt, sondern steht bereits seit langem
> in der Doku xinsert.rtf. Es ist auch die Grundlage, wenn man im

Bei V28.8 war der avanti-Hinweis noch nicht drin.


> Schreibfeld mit Paste eine ganze Liste von Feldtexten einkopiert.
> 
>> Muss diese Uneinheitlichkeit wirklich sein und ist die gewaehlte
>> Konstruktion nicht etwas problematisch, weil ";#" in Inhaltsdaten
>> vorkommen koennte?
>>
> Das muß sein, um "code injection" zu unterbinden. Sie selber hatten
> das Problem mal aufgedeckt und Abhilfe gefordert. Was hätten Sie als
> Trennung vorgeschlagen, wenn Zeilenumbruch zu gefährlich ist?

"Code injection" funktioniert anders herum, wenn z.B. ein Registereintrag
mit ";" als Suchbegriff benutzt wird und "aus Versehen" die Suche sich
bei ";" selbst abschneidet und der Text dahinter als eigenstaendiges
Kommando interpretiert wird: Dann wundern sich alle, warum seitenweises
Blaettern im Serienregister nicht funktioniert...

Konkret hier: Ich sehe kein Risiko darin, wenn ein Datensatz mit
fetch in die iV gelesen wird und in genau dieser Form mit "insert"
zurueckgeschrieben werden kann: Das Zeilenumbruchzeichen kann ja
nun wirklich nicht aus Inhaltsdaten stammen. Wenn aber (und nur fuer
acon, nicht fuer a99) eine Vorbehandlung erforderlich ist, die
nicht eineindeutig ist, weil Zeileneinden auf Strings abgebildet
werden, die auch in den Inhaltsdaten stehen, sehe ich nur Risiken
(auch im Web-Kontext: Zeilenbrueche aus "freien Eingaben" (Textareas?)
koennen ja wesentlich besser vorab untersucht und unschaendlich
gemacht werden als die ueberall legalen ";"-Zeichen)

viele Gruesse
Thomas Berger


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (Cygwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iJwEAQECAAYFAkuGP2MACgkQYhMlmJ6W47OCigP/XOjPABuHkrowfMiFw7NY1AP+
frnRFcKbBxACD1QtlJqjd8VRJ4aHDj1t/Xx3rVWD+UYD4MEkwDHRDGWPduSRCHaW
0xupyfWfEL/nLzEL/fznGoueU/Xrv96wepIgD0rVkhJS43Jy2XMJnMq7SKSqShoR
nqQOdffzJSyBvomXrfE=
=NWM+
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Allegro