Типо такого:
echo 'Логин: '.htmlspecialchars($user['login']);
echo '<br>ИД: '.htmlspecialchars($user['id']);
Намного ли упадет безапасность если сделать вот так:
echo 'Логин: '.$user['login'];
echo '<br>ИД: '.$user['id'];
Спустя 3 минуты, 5 секунд (21.05.2011 - 13:07) Гость написал(а):
Достаточно только строковые переменные выводить через htmlspecialchars.
Числа обрабатывать не надо.
Числа обрабатывать не надо.
Спустя 33 секунды (21.05.2011 - 13:08) Dizzy написал(а):
Спасибо
Спустя 51 минута, 10 секунд (21.05.2011 - 13:59) alex12060 написал(а):
Dizzy
На самом деле, так рекомендуется. Как сказали выше, числа лучше приводить к числу функцией intval()
А чтобы гемора не было, делай так:
На самом деле, так рекомендуется. Как сказали выше, числа лучше приводить к числу функцией intval()
А чтобы гемора не было, делай так:
// Тут запрос как бы
$user = mysql_fetch_assoc($sql); // Получаем данные как массив
$user = array_map('htmlspecialchars', $user); // Пробегаемся функцией по всем элементам массива
Спустя 6 часов, 48 минут, 27 секунд (21.05.2011 - 20:48) Anuarbek написал(а):
| Цитата (Dizzy @ 21.05.2011 - 10:04) |
Намного ли упадет безапасность если сделать вот так:
|
Катастрофически снизится безопасность сайта. Старайся придерживаться правила - "Доверяй, но проверяй :) ".
Спустя 22 минуты, 34 секунды (21.05.2011 - 21:10) inpost написал(а):
Dizzy
Если у тебя в БД в INT содержится ID, то нет и смысла обрабатывать перед выводом.
Логин желательно, так как когда-нибудь захотят тебя поломать, а у тебя хоть какая-то защита будет и безопасность для твоих посетителей. Эта защита уже на случай, если тебя уже поломали, а чтобы тебя не поломали ранее, надо при добавлении нового пользователя заниматься безопасностью.
Если у тебя в БД в INT содержится ID, то нет и смысла обрабатывать перед выводом.
Логин желательно, так как когда-нибудь захотят тебя поломать, а у тебя хоть какая-то защита будет и безопасность для твоих посетителей. Эта защита уже на случай, если тебя уже поломали, а чтобы тебя не поломали ранее, надо при добавлении нового пользователя заниматься безопасностью.
Спустя 22 часа, 30 минут, 19 секунд (22.05.2011 - 19:40) Dizzy написал(а):
| Цитата (alex12060 @ 21.05.2011 - 10:59) |
| Dizzy На самом деле, так рекомендуется. Как сказали выше, числа лучше приводить к числу функцией intval() А чтобы гемора не было, делай так:
|
Можно поподробнее насчет этого?
