Per sicurezza io ho sempre fatto dei check (cast, preg_match o simili) sui dati che mi arrivano via post o get e sui dati che mi escono dal db.
Ho però notato in qualche script che alcuni eseguono solo dei check sui dati in ingresso o su quei dati che vanno poi usati per una query.
Quindi tutti i check sui dati in uscita dal database sono superflui?
beh sì. se un dato proveniente dal risutato di una query deve essere usato da un metodo o da qualche funzione sarà quella funzione a controllare la bontà di quella variabile.
se il popolamento della tabella avviene esclusivamente dopo i passaggi di controlli, non vedo motivi per controllare anche l'output...
C'è chi si mette degli occhiali da sole, per avere più carisma e sintomatico mistero.
Dipende da quali check fai. Per esempio, per rendere sicuri dei dati per una query non e' necessario usare htmlentities, per mandare roba in output al browser pero' si. Se per inserire un commento ti limiti a dare un mysql_real_escape_string(), dovrai filtrarlo anche in output. Fare un controllo in piu', comunque, non fa mai male.
Io ad esempio per inserire un commento usavo un:Originariamente inviato da k.b
Per esempio, per rendere sicuri dei dati per una query non e' necessario usare htmlentities, per mandare roba in output al browser pero' si. Se per inserire un commento ti limiti a dare un mysql_real_escape_string(), dovrai filtrarlo anche in output.
htmlentities(strip_tags($t),ENT_QUOTES);
e per poi visualizzarlo un:
nl2br(strip_tags(html_entity_decode($t)));
E' abbastanza efficace?
C'è qualche cosa di superfluo (tipo lo strip_tags ripetuto per sicurezza)?
e non usi mysql_real_escape_string() per l'inserimento?
C'è chi si mette degli occhiali da sole, per avere più carisma e sintomatico mistero.
Permessi di invio
Rispondi quotando