| Autor | Zpráva | ||
|---|---|---|---|
| Mufna Profil |
#1 · Zasláno: 9. 5. 2010, 01:22:00
Mám velmi jednoduchý "index.php", který načítá stránky na základě linku uloženého v DB. Níže uvádím kód. Mám očekávat nějaké problémy s bezpečností ? Vím, že možná budu muset ošetřit, kdyby $_SERVER['REQUEST_URI'] bylo někdy prázdné (ale to teď neřeším, jde mi pouze o tu bezpečnost)
$url = $_SERVER['REQUEST_URI'];
$res = query ("SELECT * FROM links WHERE link_name = '" . escape($url) . "' LIMIT 1");
funkce escape() používá mysql_real_escape_string
v DB je vždy uloženo třeba:
/stranka-1/
/stranka-2/
/stranka-obecna/podstranka-1/
atd., včetně těch lomítek
interní odkazy na stránce pak samozřejmě vypadají takto:
<a href="/stranka-1/" alt="" title="">stranka-1</a>
|
||
| __construct Profil |
#2 · Zasláno: 9. 5. 2010, 08:56:22
ja osobne by som ešte predtým kontroloval regulárom či neobsahuje nepovolené znaky ..
|
||
| Mufna Profil |
#3 · Zasláno: 9. 5. 2010, 11:20:40
__construct
A které konkrétně ? |
||
| denCo Profil |
#4 · Zasláno: 9. 5. 2010, 11:31:56
skôr či obsahuje len znaky, ktoré tam majú čo robiť
http://www.testingsecurity.com/whitelists_vs_blacklists |
||
|
Časová prodleva: 14 let
|
|||
0