Проверка данных формы.
Если опытным програмистам на жалко, то можно даже поделиться со мной кодом (я не хацкер :) ).
Заранее спасибо.
Всё. Больше ничего не нужно... Никакие данные не смогут сломать сайт... А все остальные дыры зависят от реализации... Но HTML теги сайт не сломают)
htmlspecialchars (),
Всё. Больше ничего не нужно... Никакие данные не смогут сломать сайт... А все остальные дыры зависят от реализации... Но HTML теги сайт не сломают)
Обман с особым цинизмом.
Указанная функция нужна только при ВЫВОДЕ данных в броузер.
А вот при занесении в базу - совсем другие проверочки.
Помнится в phpBB дырочка была с формированием регекса, приводящая к исполнению произвольного php кода. В общем пройдись по уязвимостям популярных продуктов.
Я делаю просто - там где можно обойтись цифрой - обхожусь цифрой и прогоняю через /^[0-9]+$/, там где нужен текст - /^[-а-яА-Я\s]+$/ в большинстве случаев хватает.
А вообще есть один простой и универсальный совет - учись ломать. Научишься ломать - сможешь защитить. Но только от тех атак, с которыми сам знаком.
Зри в поиск по [sql инъекция] [кросс скриптинг]
Обман с особым цинизмом.
Указанная функция нужна только при ВЫВОДЕ данных в броузер.
А вот при занесении в базу - совсем другие проверочки.
Помнится в phpBB дырочка была с формированием регекса, приводящая к исполнению произвольного php кода. В общем пройдись по уязвимостям популярных продуктов.
Я делаю просто - там где можно обойтись цифрой - обхожусь цифрой и прогоняю через /^[0-9]+$/, там где нужен текст - /^[-а-яА-Я\s]+$/ в большинстве случаев хватает.
А вообще есть один простой и универсальный совет - учись ломать. Научишься ломать - сможешь защитить. Но только от тех атак, с которыми сам знаком.
Зри в поиск по [sql инъекция] [кросс скриптинг]
Плохой дядька, неправильно по цифрам советуешь:))). is_numiric() вам в помощь.
Плохой дядька, неправильно по цифрам советуешь:))). is_numiric() вам в помощь.
:D Тож можно. Вопрос религии. Мне просто регексами сподручнее. Но не настаиваю и не навязываю.
:D Тож можно. Вопрос религии. Мне просто регексами сподручнее. Но не настаиваю и не навязываю.
Просто IMHO is_numeric() быстрее немного:).
Просто IMHO is_numeric() быстрее немного:).
Согласен. Но по отношению ко времени исполнения скрипта ...
А с регексами - просто мне легче паттерн составить чем запоминать сигнатуры на все случаи жизни. Опять же повторюсь - не навязываю. Хотя для поиска подстроки регексы использовать не буду. Но не из за времени исполнения а просто потому что. Вообще, не знаю как у остальных, а у меня выбор инструмента основывается больше на нравится/не нравится чем на логике, ибо как бы обоснован инструмент ни был, если он мне не нравится - мне его использовать тяжко. Может быть не самый правильный ход мыслей, но я блин, человек а не робот - хочется мне иметь свои недостатки и неправильности.
Согласен. Но по отношению ко времени исполнения скрипта ...
А с регексами - просто мне легче паттерн составить чем запоминать сигнатуры на все случаи жизни. Опять же повторюсь - не навязываю. Хотя для поиска подстроки регексы использовать не буду. Но не из за времени исполнения а просто потому что. Вообще, не знаю как у остальных, а у меня выбор инструмента основывается больше на нравится/не нравится чем на логике, ибо как бы обоснован инструмент ни был, если он мне не нравится - мне его использовать тяжко. Может быть не самый правильный ход мыслей, но я блин, человек а не робот - хочется мне иметь свои недостатки и неправильности.
И это есть правильно.... Пока тебе не надо около 40 полей проверять на цифры которые из формы пришли:)))