Autor Zpráva
Jenicek
Profil
co považujete za nejlepší ochranu při $_GET...?
a jakou ochranu používáte?
tiso
Profil
Jenicek: čo si pod tým mám predstaviť?
lorin
Profil
Ochranou je kontrolovat to, co v jednotlivých proměnných ve výsledku máš. Protože tomu, aby si do adresy uživatel napsal blbosti nijak nezabráníš.
Jenicek
Profil
myslel jsem všeobecnou ochranu... co používáte a co doporučujete :)
samozřejmě to myslím napadení hackerem a podobným svinstvem :D

jde o vyhledávání... zda tam někdo napíše nesmysl to je dost možné ale tím mi na webu neublíží :D
juriad
Profil
Jednou vetou: nikdy never uzivateli, vzdy se vstupem pracuj, jako by pochazel od toho nejfikanejsiho utocnika.
Nic univerzalniho neexistuje, muzes jen premyslet jako oni a predstavit si nejhorsi mozny vstup a i pro ten se musi tva aplikace chovat korektne. Projdi vsechna mista pouziti vstupu a zanalyzuj, co by mohlo zpusobit problemy.
Rfilip
Profil
Předpokládám že výsledky vyhledáváš v databázi, je potřeba se escapováním nebezpečných znaků chránit před Sql injection používáním rozhraní mysqli konkrétně třídy mysqli_stmt která escapuje automaticky.
Davex
Profil
Jenicek:
myslel jsem všeobecnou ochranu...
Není žádná všeobecná ochrana vstupu, protože záleží na tom, co s tím chceš zrovna udělat.

co používáte a co doporučujete
Doporučuji escapovat. Studium můžeš začít třeba na http://phpfashion.com/escapovani-definitivni-prirucka.

Nicméně by se mělo doplnit, že u funkcí, které mají volitelný parametr určující kódování, by se měl používat povinně, aby nedocházelo k neočekávaným výsledkům.

Např.:
// text na stránce v kódování windows-1250 nebo iso-8859-2
echo htmlspecialchars($_GET['text'], ENT_QUOTES, 'ISO-8859-1');

// text na stránce v kódování UTF-8
echo htmlspecialchars($_GET['text'], ENT_QUOTES, 'UTF-8');
Micrussak
Profil *
Ochrana GET? když je to číslo tak třeba...

$id = intval($_GET['id']);
// pak třeba jsem dal, že když bude ID 0 tak ať mu to hodí error stránku
if($_GET['id']==0) { echo'třeba text nebo'; Header("LOCATION: index.php"); }
Jenicek
Profil
Micrussak:
Ochrana GET? když je to číslo tak třeba...

ve vyhledávání na webu se málo kdy používají pouze čísla :D
možná v rozšířeném ale to není můj případ :)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: