White я вроде не к вам обращался
(Добавление)
DeepVarvar пишет:Данил_123 пишет:../../../
$params = array("..","..",".."); Сломал???
не сломал, а сло
пал((
Данил_123 пишет:вполне, но технология свича удобней и ссылки получаются типа domen.ru/?do=register например
и ко мне в том числе.
Цитата:Но к счастью я обрабатываю через mod_rewrite аргументы, дабы не попасть под инъекции.
с таким же успехом можно и в PHP обрабатывать а не тормозить систему неповоротливым апачем
caballero
Не вырывайте слова из контекста. Я говорил о том, что в своем способе перехватываю в обработчик всю строку и уже на месте ее разбираю, вариантов обработки множество, но суть в том, что при разборе строки я лишаюсь некоторых символов, которые могут дать SQL инъекцию, если уже иду таким вот суровым методом, когда подключаю файлы из прямого обращения через GET.
Вписывать вручную каждый модуль - это издевательство, мне просто было бы лень запоминать где и что.
Как любитель MVC - сам разбиваю код на логическую и визуальную часть, поэтому если после чего-то мне нужно перенаправить пользователя я ему не высылаю в ответ даже шапку сайта.
ALEN
достаточно через .htaccess перенаправить строку в index.php а там уже обрабатывать как угодно
от sql иньекций никакой mod_rewrite не спасет, да и смысла нет - достаточно заюзать плейсхолдеры при работе с бд или просто проверять соответствующие параметры на numeric
не знаю к чему тут MVC то тем более странно читать что в такой крутой архитектуре параметры query строки прямиком идут в sql запросы (а иначе инекциям взятся неоткуда)
caballero
1) Я неправильно выразился, я именно перехватываю через htaccess запрос и обрабатываю его на php лишая ненужных символов.
2) Инъекция бывает не только sql. Поскольку разбирал в данном случае конкретный пример, просто выложил настолько же идиотский способ реализации index.php как и у автора, просто его его если не обработать - можно нарваться на ту самую инъекцию (инклудить не тот файл).
3) MVC - заговорил со стороны архитектуры, поскольку index в большинстве случаев говорит о архитектуре системы, во всяком случае - такие варианты мы видим в топике.
1 ясно
2 проверять данные на входе нужно независимо от дальнейшей реализации - это аксиома
3 index.php вообще то не говорит ни о чем, если это не с какой нибудь общеизвестной CMS
caballero
2) Если на то пошло, то и в ходе работы не мешало бы проверять периодически данные, всякое бывает, особенно когда разработка ведется в команде.
3)
Не знаю, как для Вас но тут интуитивно понятно, что цепляется шаблон, а если это не так, то даже если представить, что это нормальный код, но интуитивно несет не то, что имеет, то это уже один из пунктов относящихся к говнокоду.
Данил_123 пишет:вырожало смысл
Мы смысл не рожало...
Не важно где и в каких папках лежат те или иные файлы.
Бывает и так что все лежит выше DOCUMENT_ROOT
Важна архитектура системы.
Файлы валяющиеся тут и там, дают информацию об архитектуре уже в посредственной форме.