AK
Суть taint'а же правильная: пока ты не посмотрел, что тебе там приехало, нельзя ничего предполагать. Особенно когда внешние данные забираются каким-нибудь readline или "прочитай мне всё"
use strict; use warnings; просто безусловно включатьSize: a a a
2020 April 07
AP
т.е. для остальных случаев
AP
Суть taint'а же правильная: пока ты не посмотрел, что тебе там приехало, нельзя ничего предполагать. Особенно когда внешние данные забираются каким-нибудь readline или "прочитай мне всё"
кто-то спорит? ну вот ты посмотрел, что ты делаешь дальше?
AP
ты обязан пришедший скаляр для дальнейших операций антейнтнуть. как ты это делаешь?
AK
ты обязан пришедший скаляр для дальнейших операций антейнтнуть. как ты это делаешь?
Матчу регуляркой, вытаскиваю какой-нить $1
AP
Матчу регуляркой, вытаскиваю какой-нить $1
вот-вот. а можно ж было после проверки просто скинуть флаг тайнта
b
s/loosing/losing/
👍, tnx
S
Но идея была правильная: нельзя просто пользоваться данными извне
Нет. Просто как пример - ни один другой язык такую фигню не сделал, хотя пример у них был. Почему?
AK
Нет. Просто как пример - ни один другой язык такую фигню не сделал, хотя пример у них был. Почему?
Вообще-то нет
AK
Все типизированные языки именно это и делают. На входе у тебя в лучшем случае string будет
AK
А чтобы им пользоваться - нужно выцепить кусок и попытаться распарсить во что-то. Например, в int или в структуру из json, причём обычно поля не могут абы какими. Тот же JSON:Any в Crystal хоть и есть, но работает медленно, так что мало кто пользуется им в нагруженных приложениях.
AP
Нет. Просто как пример - ни один другой язык такую фигню не сделал, хотя пример у них был. Почему?
на самом деле в том или ином виде подобные вещи обрабатываются везде. джейсон-схемы не просто так придуманы были, в шаблонах подставить "сырое" значение часто тоже надо извернуться
VG
strict вообще я бы только в коммандлайн режиме разрешил отключать... :)
легасня отвалится ))
AP
ну ясно дело
AP
я скорее подход демонстрировал, чем реально требовал :)
S
на самом деле в том или ином виде подобные вещи обрабатываются везде. джейсон-схемы не просто так придуманы были, в шаблонах подставить "сырое" значение часто тоже надо извернуться
Это вообще не про то, что делает taint. Это то, что думают, что он делает.
AP
Это вообще не про то, что делает taint. Это то, что думают, что он делает.
ты расшифруй мысль, а то непонятно что сказал то
R
Нет. Просто как пример - ни один другой язык такую фигню не сделал, хотя пример у них был. Почему?
Потому, что конкурентов у Перла на поприще веба в те времена практически не было.
А борется taint с неконтроллируемым исполнением программ и доступом к файлам.
А борется taint с неконтроллируемым исполнением программ и доступом к файлам.
НЛ
strict вообще я бы только в коммандлайн режиме разрешил отключать... :)
Меня как-то переклинило и я начал strict пихать везде, где можно)
VG
Меня как-то переклинило и я начал strict пихать везде, где можно)
в командной строке штоли? :)