Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009
Помог: 0 раз(а)
Благодарю всех вас за активное участие в данной теме!
Не нарушая традиций, выкладываю ещё один более безумный пример "защиты данных", найденный мною несколько минут назад. В виде статьи / документации.
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
Ammy пишет:
Ссылка
Да, без комментариев
valenok
Отправлено: 11 Января, 2010 - 13:58:37
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Мне наверное никогда не понять какое вообще программисты имеют право на изменение чужих введенных данных.
----- Truly yours, Sasha.
EuGen
Отправлено: 11 Января, 2010 - 14:01:24
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Тем не менее изменяете их.
Ну и тогда уж, какое право имеют хакеры на взлом приложений.
Вообще, способ представления данных часто изменяет их из "исходного вида". Так что все в порядке вещей, я думаю.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
valenok
Отправлено: 11 Января, 2010 - 14:14:08
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Хакеры и не имеют, часто и не могут. Мало того, я их вовсе не изменяю.
----- Truly yours, Sasha.
EuGen
Отправлено: 11 Января, 2010 - 15:39:32
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
valenok пишет:
$id = @intval($_POST['id']); if(!$id) throw ..
valenok пишет:
имейлы проверяю регуляркой + на сопутсвующие mx записи во избежании ввода несуществующих адресов.
Иногда пользуюсь фильтрами валидации (validation filters)
Я про это. В общем-то, пользователь увидит то, что делал, конечно, но в строгом смысле это модификация. Ладно. Это все уже похоже на демагогию, которой можно легко замусорить тему.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
STRELOK
Отправлено: 11 Января, 2010 - 21:56:12
Гость
Покинул форум
Сообщений всего: 101
Дата рег-ции: Янв. 2010 Откуда: Ульяновск
Помог: 0 раз(а)
valenok пишет:
Как поступаю с данными я.
Прием данных.
Никаких magic_quotes, автоматических добавлений всяких слэшей и прочей галиматьи.
Обработка данных
Числовые данные сначала преобразаую инвалом, потом проверяю на отличие от нуля.
Порой даже не проверяю на их присутсвие, если они там должны быть.
$id = @intval($_POST['id']); if(!$id) throw ..
имейлы проверяю регуляркой + на сопутсвующие mx записи во избежании ввода несуществующих адресов.
Иногда пользуюсь фильтрами валидации (validation filters)
Никогда и не при каких условиях не изменяю вводимые данные ( никаких стрип тагс, стриптиз, санитайз фильтров и любых других преобразований.
Ввод данных в БД
Любый строковые данные обязательно подвергаются обработке mysql_real_escape_string или чем-то подходящим для вашей конкретной БД.
Даже если мы 3 раза проверили имейл регулярками.
Всегда строки в запросах заключаются в кавычки.
Числа тоже, хоть mysql их и преобразовывает.
Все числа вводятся только после intvala (который я выполняю на этапе приема данных)
Вывод из БД
Любые данные из БД выводятся после обработки htmlspecialchars( , ENT_QUOTES);
а как проверить mx запись при проверке мыла?
valenok
Отправлено: 12 Января, 2010 - 10:18:42
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Intval применяю только к тем данным которые просто обязаны быть числовыми, как Id чего нибудь.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.