Autor Zpráva
Mufna
Profil
Mám velmi jednoduchý "index.php", který načítá stránky na základě linku uloženého v DB. Níže uvádím kód. Mám očekávat nějaké problémy s bezpečností ? Vím, že možná budu muset ošetřit, kdyby $_SERVER['REQUEST_URI'] bylo někdy prázdné (ale to teď neřeším, jde mi pouze o tu bezpečnost)
$url = $_SERVER['REQUEST_URI'];

$res = query ("SELECT * FROM links WHERE link_name = '" . escape($url) . "' LIMIT 1");

funkce escape() používá mysql_real_escape_string

v DB je vždy uloženo třeba:

/stranka-1/
/stranka-2/
/stranka-obecna/podstranka-1/

atd., včetně těch lomítek

interní odkazy na stránce pak samozřejmě vypadají takto:
<a href="/stranka-1/" alt="" title="">stranka-1</a>
__construct
Profil
ja osobne by som ešte predtým kontroloval regulárom či neobsahuje nepovolené znaky ..
Mufna
Profil
__construct
A které konkrétně ?
denCo
Profil
skôr či obsahuje len znaky, ktoré tam majú čo robiť
http://www.testingsecurity.com/whitelists_vs_blacklists

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: