• ColdFusion’s Builtin Enterprise Security API
• HTTPOnly Cookies
• Session Fixation, XSS, CRLF injection

Darüberhinaus stellt Adobe mit den Lockdown Guides bzw. Developer Guidelines hilfreiche Anleitungen zur Verfügung, wie die CF-Server mit zusätzlichen Maßnahmen gegenüber Dritten abgesichert werden können:

• Coldfusion 9 Server Lockdown Guide
• ColdFusion 8 developer security guidelines

Mac-Freunde aufgepaßt: ColdFusion 9.0.1 zusammen mit dem kumulativen HotFix 2 unterstützt jetzt auch Mac OSX Lion (10.7.x)!

Weitere Einzelheiten finden sich unter http://kb2.adobe.com/cps/907/cpsid_90784.html

Installationshinweise und Installationsdatei finden sich unter http://kb2.adobe.com/cps/911/cpsid_91140.html

Die zweite Inititative zielt darauf ab, das die Nutzer der Doku (bzw. des Guides “Developing ColdFusion 9 Applications”) diese selber ändern können sollen, wie uns Mike Henke in seinem Blog mitteilt. Bei dieser Initiative sollen die Nutzer der Doku die Möglichkeit haben, über GIT direkt im Browser Fehler zu korrigieren oder die Beispiele zu verbessern.

Nehmen wir das cfinput-Element aus dem vorigen Beitrag mit ein wenig abstrahierter Verarbeitungslogik:

<cfset SetLocale("German (Standard)")>

<cfif StructKeyExists(Form, "termin")>
 <cfset Variables.termin = Form.termin>
<cfelse>
 <cfset Variables.termin = CreateODBCDate(now())>
</cfif>

<cfoutput>
 <cfform action="#CGI.SCRIPT_NAME#" method="post">
 <cfinput
 type="datefield"
 name="termin"
 id="termin"
 firstdayofweek="1"
 validate="eurodate"
 validateat="onSubmit,onServer"
 mask="dd.mm.yyyy"
 value="#DateFormat(Variables.termin, "dd.mm.yyyy")#">

 <cfinput
 type="submit"
 name="btnSubmit"
 value="senden">
 </cfform>
</cfoutput>

<cfoutput>
 <cfif StructKeyExists(Form, "termin")>
 Form.termin: #Form.termin#<br>
 DateFormat(Form.termin): #DateFormat(Form.termin)#<br>
 LSDateFormat(Form.termin): #LSDateFormat(Form.termin)# <!--- !!! throws an error !!! --->
 </cfif>
</cfoutput>

Die Validierung und die Maske sorgen dafür, das im Input-Feld nur gültige Werte für ein deutsches Datum eingegeben und abgesendet werden. Die Maske formatiert den eingebenen (oder übergebenen) Wert (z.B. Schrägstrich durch Punkt ersetzen) und die Validierung überprüft den eingegebenen (oder übergebenen) Wert auf Gültigkeit (z.B. Monat nicht größer als 12 ö.ä). Wird nun der Wert eines cfinput vom Typ “datefield” mit deutscher Lokalisierung (validate=eurodate, mask=dd.mm.yyyy) mit einem Formular versandt und im empfangenden Dokument dieser Datumswert mit LSDateFormat formatiert, so schmeißt ColdFusion eine Exception mit der Begründung, der Wert wäre kein gültiger Datumswert. Und das, obwohl die String-Ausgabe des Objekts genau danach aussieht, z.B. {d ’2011-05-09′}. Gut, muss man nicht verstehen, ist aber so.

Nach ein wenig rumprobieren kam heraus, das die CF-interne Validierung irgendetwas mit dem Datumsobjekt anstellt, so das es nachher nicht mehr korrekt von der LSDateFormat-Funktion erkannt werden kann. Läßt man nämlich die Validierung auf “eurodate” weg, so kann das zurückgegebene Datumsobjekt ohne Probleme von der ColdFusion-Funktion LSDateFormat gelesen und formatiert werden. Dummerweise kann der Benutzer ohne Validierung irgendwelchen Käse in das Feld eingeben und absenden. Also auch nicht gut…

Die Lösung: wir bauen uns eine eigene Validierung für ein cfinput vom Typ datefield mit deutschem Datum. Da ist dank RegularExpressions auch gar kein großes rumprogrammieren nötig (haben ja schon andere gemacht: http://regexlib.com/ ). Dabei beachtet werden sollte, das ColdFusion der Validierungsfunktion automatisch drei Paramter übergibt, die im Funktionskopf auch definiert sein müssen: form_object, input_object und object_value. Uns interessiert in diesem Fall nur der object_value, da wir die Validierung direkt an das cfinput anheften und nicht an der cfform (wo wir durch die einzelnen Elemente loopen müssten).

<script type="text/javascript">
	function validateGermanDate(form_object, input_object, object_value) {
		var dateformat = /^(0[1-9]|[12][0-9]|3[01]|[1-9])\.(0[1-9]|1[012]|[1-9])\.(\d{4}|\d{2})$/

		if(object_value.match(dateformat))
			return (true)
		else
			return (false);
	}
</script>

Schließlich wird noch die validate-Eigenschaft (validate=”eurodate”) des cfinput-Elements durch die Event-Funktion “onValidate” ersetzt. Als Wert für das onvalidate-Event wird dann die eigene Validierungsfunktion verwendet.

<cfinput
	type="datefield"
	name="termin"
	id="termin"
	firstdayofweek="1"
	validateat="onSubmit,onServer"
	onvalidate="validateGermanDate"
	mask="dd.mm.yyyy"
	value="#LSDateFormat(termin)#">

Und so funktioniert die Lokalisierung des Datums, das über ein CFINPUT vom Type “datefield” eingegben wurde, auch  mit LSDateFormat…

Ach ja, alles getestet mit ColdFusion 8.0.1.

<cfform action="#CGI.SCRIPT_NAME#" method="post">
  <cfinput
    type="datefield"
    name="termin"
    id="termin"
    class="pflichteingabe"
    firstdayofweek="1"
    validate="eurodate"
    validateat="onSubmit,onServer"
    mask="dd.mm.yyyy"
    value="">

  <cfinput
    type="submit"
    name="btnSubmit"
    value="senden">
</cfform>

<cfdump var="#form#">

ergibt z.B.:

Wird der Wert ohne weitere Verarbeitung an die Datenbank durchgereicht und in einem SQL-Datumsfeld gespeichert, ist alles in Ordnung und der Wert kann als vollständiges Datumsobjekt wieder in CF geladen werden. Muss das ODBC-Datumsobjekt jedoch in einem Textfeld (z.B. VarChar, nVarChar, …) gespeichert und wieder geladen werden, so kommt man um das Parsen und Konvertieren des ODBC-Datumsobjekts nicht herum. Und ColdFusion kann hier leider nicht weiterhelfen. Wie gut, das wir ja noch Java haben…!

Mit Hilfe der Java-Klasse SimpleDateFormat ist das Parsen und Konvertieren des ODBC-Datumsobjekts in ein normales, vollständiges DatumZeit-Objekt kein Problem:

<cfscript>
  function ConvertODBCDate(sqlDate) {
    var tmpDate = Replace(sqlDate, "'", "", "all");
    var formatter = CreateObject("java", "java.text.SimpleDateFormat");
    formatter.init("'{d 'yyyy-MM-dd'}'");

    return formatter.parse(tmpDate);
}
</cfscript>

In der Funktion ConvertODBCDate() wird dazu lediglich die Java-Klasse SimpleDateFormat mit dem entsprechendem Pattern instanziiert, um damit dann das Datumsobjekt zu parsen und ein vollständiges Datumsobjekt zurückzuliefern. Zuvor müssen (Dank an Christian für den Hinweis) aus dem ODBC-Datumsobjekt die einzelnen Anführungszeichen (single quotation mark) entfernt werden. Erst dann paßt das mit dem Pattern überein und so wird aus “{d ’2011-05-09′}” dann “{ts ’2011-05-09 00:00:00′}” und ColdFusion kann wieder mit dem Objekt arbeiten.