[pyar] Peligrosidad de un lambda

Roberto Alsina ralsina en netmanagers.com.ar
Jue Oct 7 12:05:11 ART 2010


On Thursday 07 October 2010 11:56:18 Martin Cerdeira wrote:
> 2010/10/7 Ricardo Aráoz <ricaraoz en gmail.com>:
> > Si escribo código
> > para que tome entrada de una terminal y haga X no tengo por qué
> > considerar que vos podés venir después y usarlo para otra cosa en la que
> > este código pueda ser peligroso, así como no tengo por qué pensar que un
> > terrorista le conecte una bomba a la tecla Z (y mi código debiera
> > chequear que no haya nada conectado al teclado).
> 
> O sea que, con la misma idea, si vos escribís una aplicación web,
> digamos, y tu aplicación no filtra como debe y permite que alguien
> haga SQL Injection, es culpa del que hizo el Injection? O te entendí
> todo al revéz?
> 
> Para hacer, más fácil, si yo hago un eval del raw_input y alguien
> viene y rompe, no es culpa mía?

No. Si haces eval(raw_input()) en una aplicación que corre en una terminal 
(único lugar adonde tiene algún sentido) y después alguien agarra ese código y 
lo mete en un CGI es culpa del que lo metió wen el CGI, no del que lo escribió 
para correrlo en una terminal.



More information about the pyar mailing list