Autor | Zpráva | ||
---|---|---|---|
Mufna Profil |
#1 · Zasláno: 9. 5. 2010, 01:22:00
Mám velmi jednoduchý "index.php", který načítá stránky na základě linku uloženého v DB. Níže uvádím kód. Mám očekávat nějaké problémy s bezpečností ? Vím, že možná budu muset ošetřit, kdyby $_SERVER['REQUEST_URI'] bylo někdy prázdné (ale to teď neřeším, jde mi pouze o tu bezpečnost)
$url = $_SERVER['REQUEST_URI']; $res = query ("SELECT * FROM links WHERE link_name = '" . escape($url) . "' LIMIT 1"); funkce escape() používá mysql_real_escape_string v DB je vždy uloženo třeba: /stranka-1/ /stranka-2/ /stranka-obecna/podstranka-1/ atd., včetně těch lomítek interní odkazy na stránce pak samozřejmě vypadají takto: <a href="/stranka-1/" alt="" title="">stranka-1</a> |
||
__construct Profil |
#2 · Zasláno: 9. 5. 2010, 08:56:22
ja osobne by som ešte predtým kontroloval regulárom či neobsahuje nepovolené znaky ..
|
||
Mufna Profil |
#3 · Zasláno: 9. 5. 2010, 11:20:40
__construct
A které konkrétně ? |
||
denCo Profil |
#4 · Zasláno: 9. 5. 2010, 11:31:56
skôr či obsahuje len znaky, ktoré tam majú čo robiť
http://www.testingsecurity.com/whitelists_vs_blacklists |
||
Časová prodleva: 14 let
|
0