Autor | Zpráva | ||
---|---|---|---|
wordik Profil * |
#1 · Zasláno: 15. 11. 2009, 11:49:52
Dobrý den, je třeba nějakým způsobem ošetřit tyto session proměnné, pokud je budu někde vypisovat?
... while($login_row = mysql_fetch_array($sql_login_check)){ session_regenerate_id(); $_SESSION['logged'] = 1; $_SESSION['user_name'] = $login_row['username']; } ... a pak například: echo $_SESSION['user_name']; nebo zda je potřeba výstup nějak ošetřit nebo se ošetřují jen $_POST apod.? Děkuji předem |
||
Alphard Profil |
#2 · Zasláno: 15. 11. 2009, 12:17:50
$_SESSION nikdo nezmění. Záleží na tom, jak máte ošetřené vkládání username do databáze. Když to při výpisu proženete htmlspecialchars(), tak asi nic nezkazíte.
|
||
wordik Profil * |
#3 · Zasláno: 15. 11. 2009, 16:31:25
Alphard:
Všechny řetězce, které jdou skrze databází proženu mysql_real_escape_string() a všechna čísla funkcí intval(). |
||
Alphard Profil |
#4 · Zasláno: 15. 11. 2009, 16:36:22
wordik:
„Všechny řetězce, které jdou skrze databází proženu mysql_real_escape_string()“ Takže při výpisu htmlspecialchars(). Kdyby si někdo zaregistroval jméno např. "wordik</div></div>", tak vám to rozhází stránku. |
||
wordik Profil * |
#5 · Zasláno: 15. 11. 2009, 16:46:20
Alphard:
Dobře, děkuji. |
||
wordik Profil * |
#6 · Zasláno: 16. 11. 2009, 23:09:42
Když o tom tak přemýšlím, nebude stačit ošetřit pouze vstupy formuláře?
Například ve formuláři pro registraci nebo zaslání zapomenutého hesla: <input type="text" id="user_name" name="user_name" class="field" size="20" maxlength="16" value="',htmlspecialchars($_POST['user_name'], ENT_QUOTES),'"> <input type="text" id="email" name="email" class="field" size="20" maxlength="75" value="',htmlspecialchars($_POST['email'], ENT_QUOTES),'"> Konkrétně u pole prp uživatelské jméno samozřejmě povoluji pouze znaky a-z;A-Z;0-9, ovšem beru to všeobecně, například u textového pole pro napsání zprávy do chatu, nebudu takto uživatele omezovat (pouze příklad). |
||
wordik Profil * |
#7 · Zasláno: 16. 11. 2009, 23:11:07
wordik:
samozřejmě v sql dotazech budu ošetřovat raději stejně, ale jde mi spíše o ty "echa", o kterých jsem mluvil v původním příspěvku. |
||
Časová prodleva: 4 dny
|
|||
wordik Profil * |
#8 · Zasláno: 20. 11. 2009, 19:08:02
Můžete mi to někdo odsouhlasit? :-) Já jen abych neměl nějaké bezpečnostní díry v mé aplikaci.
|
||
Časová prodleva: 14 let
|
0