(Добавление)
DeepVarvar пишет:
Данил_123 пишет:
$params = array("..","..",".."); Сломал???../../../
не сломал, а слопал((
16. Данил_123 - 06 Ноября, 2011 - 15:12:36 - перейти к сообщению
White я вроде не к вам обращался
(Добавление)
не сломал, а слопал((
(Добавление)
не сломал, а слопал((
17. White - 06 Ноября, 2011 - 16:20:04 - перейти к сообщению
Данил_123 пишет:
вполне, но технология свича удобней и ссылки получаются типа domen.ru/?do=register например
и ко мне в том числе.
18. caballero - 06 Ноября, 2011 - 16:30:16 - перейти к сообщению
Цитата:
Но к счастью я обрабатываю через mod_rewrite аргументы, дабы не попасть под инъекции.
с таким же успехом можно и в PHP обрабатывать а не тормозить систему неповоротливым апачем
19. ALEN - 06 Ноября, 2011 - 18:05:29 - перейти к сообщению
caballero
Не вырывайте слова из контекста. Я говорил о том, что в своем способе перехватываю в обработчик всю строку и уже на месте ее разбираю, вариантов обработки множество, но суть в том, что при разборе строки я лишаюсь некоторых символов, которые могут дать SQL инъекцию, если уже иду таким вот суровым методом, когда подключаю файлы из прямого обращения через GET.
Вписывать вручную каждый модуль - это издевательство, мне просто было бы лень запоминать где и что.
Как любитель MVC - сам разбиваю код на логическую и визуальную часть, поэтому если после чего-то мне нужно перенаправить пользователя я ему не высылаю в ответ даже шапку сайта.
Не вырывайте слова из контекста. Я говорил о том, что в своем способе перехватываю в обработчик всю строку и уже на месте ее разбираю, вариантов обработки множество, но суть в том, что при разборе строки я лишаюсь некоторых символов, которые могут дать SQL инъекцию, если уже иду таким вот суровым методом, когда подключаю файлы из прямого обращения через GET.
Вписывать вручную каждый модуль - это издевательство, мне просто было бы лень запоминать где и что.
Как любитель MVC - сам разбиваю код на логическую и визуальную часть, поэтому если после чего-то мне нужно перенаправить пользователя я ему не высылаю в ответ даже шапку сайта.
20. caballero - 06 Ноября, 2011 - 18:15:30 - перейти к сообщению
ALEN
достаточно через .htaccess перенаправить строку в index.php а там уже обрабатывать как угодно
от sql иньекций никакой mod_rewrite не спасет, да и смысла нет - достаточно заюзать плейсхолдеры при работе с бд или просто проверять соответствующие параметры на numeric
не знаю к чему тут MVC то тем более странно читать что в такой крутой архитектуре параметры query строки прямиком идут в sql запросы (а иначе инекциям взятся неоткуда)
достаточно через .htaccess перенаправить строку в index.php а там уже обрабатывать как угодно
от sql иньекций никакой mod_rewrite не спасет, да и смысла нет - достаточно заюзать плейсхолдеры при работе с бд или просто проверять соответствующие параметры на numeric
не знаю к чему тут MVC то тем более странно читать что в такой крутой архитектуре параметры query строки прямиком идут в sql запросы (а иначе инекциям взятся неоткуда)
21. ALEN - 06 Ноября, 2011 - 18:23:45 - перейти к сообщению
caballero
1) Я неправильно выразился, я именно перехватываю через htaccess запрос и обрабатываю его на php лишая ненужных символов.
2) Инъекция бывает не только sql. Поскольку разбирал в данном случае конкретный пример, просто выложил настолько же идиотский способ реализации index.php как и у автора, просто его его если не обработать - можно нарваться на ту самую инъекцию (инклудить не тот файл).
3) MVC - заговорил со стороны архитектуры, поскольку index в большинстве случаев говорит о архитектуре системы, во всяком случае - такие варианты мы видим в топике.
1) Я неправильно выразился, я именно перехватываю через htaccess запрос и обрабатываю его на php лишая ненужных символов.
2) Инъекция бывает не только sql. Поскольку разбирал в данном случае конкретный пример, просто выложил настолько же идиотский способ реализации index.php как и у автора, просто его его если не обработать - можно нарваться на ту самую инъекцию (инклудить не тот файл).
3) MVC - заговорил со стороны архитектуры, поскольку index в большинстве случаев говорит о архитектуре системы, во всяком случае - такие варианты мы видим в топике.
22. caballero - 06 Ноября, 2011 - 18:29:49 - перейти к сообщению
1 ясно
2 проверять данные на входе нужно независимо от дальнейшей реализации - это аксиома
3 index.php вообще то не говорит ни о чем, если это не с какой нибудь общеизвестной CMS
2 проверять данные на входе нужно независимо от дальнейшей реализации - это аксиома
3 index.php вообще то не говорит ни о чем, если это не с какой нибудь общеизвестной CMS
23. ALEN - 06 Ноября, 2011 - 18:39:51 - перейти к сообщению
caballero
2) Если на то пошло, то и в ходе работы не мешало бы проверять периодически данные, всякое бывает, особенно когда разработка ведется в команде.
3)
2) Если на то пошло, то и в ходе работы не мешало бы проверять периодически данные, всякое бывает, особенно когда разработка ведется в команде.
3)
PHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- include_once("template/header.php");
- include_once("template/footer.php");
Не знаю, как для Вас но тут интуитивно понятно, что цепляется шаблон, а если это не так, то даже если представить, что это нормальный код, но интуитивно несет не то, что имеет, то это уже один из пунктов относящихся к говнокоду.
