qba10
21.06.2008, 18:01:16
Witam.
Dzisiaj zamierzałem napisać jakąś funkcję odpowiedzialną za filtrowanie danych wejściowych i wyjściowych z bazy danych, ale szukając jakiś informacji na ten temat znalazłem wiele przykładów, które wg. jednych były dobre a wg. drugich niebezpieczne.
Jaki sposób waszym zdaniem jest najlepszy i najwygodniejszy i jakiego sami używacie?
Pozdrawiam
Qba10
batman
21.06.2008, 18:15:52
Odbieranie danych od użytkownika.
1. Wywalaj wszystkie (zdecydowaną większość) znaczników html.
2. Nie używaj bezpośrednio zmiennych $_GET, $_POST i $_COOKIE.
3. Nie polegaj na zmiennych z $_SERVER. Niektóre z nich można zmienić.
4. Zawsze "eskepjpuj" - *_escape_string - dane zapisywane w bazie, ewentualnie używaj zapytań prepared statements.
5. Użytkownik (nie każdy) to szkodnik. Nigdy nie ufaj danym otrzymanym od użytkownika, nawet jeśli wiesz kto to jest (mama, babcia, kolega).
Wysłanie danych do użytkownika.
1. Powinno się wywalać znaki html z danych pobranych z bazy (chyba, że dokładnie wiesz co jest w bazie)
P.S.
Przenoszę na przedszkole.