|
|
|
|
|
для: xpom
(13.06.2011 в 21:13)
| | Да. | |
|
|
|
|
|
|
|
для: cheops
(13.06.2011 в 18:36)
| | а при занесении данных в базу применять mysql_real_escape_string? | |
|
|
|
|
|
|
|
для: xpom
(13.06.2011 в 17:03)
| | У вас текст исказится, его потом нельзя будет редактировать - будут артефакты от повторного использования htmlspecialchars(). Эту функцию лучше применять один раз и при выводе из базы данных. | |
|
|
|
|
|
|
|
для: cheops
(13.06.2011 в 13:48)
| | почему же, если мы проверим, что занесем в базу, то и выводится будут чистые данные... не так ли? | |
|
|
|
|
|
|
|
для: xpom
(13.06.2011 в 13:45)
| | Скорее не проверяться, а выводиться. Да, это значительно снизить вероятность XSS-инъекции, однако. | |
|
|
|
|
|
|
|
для: cheops
(13.06.2011 в 00:09)
| | они вставляются в поля формы заполняемые пользователем?
если все поля, вводимые пользователем буду проверятся через функцию htmlspecialchars() можно исключить возможность XSS-инъекции? | |
|
|
|
|
|
|
|
для: xpom
(12.06.2011 в 23:39)
| | Нет, XSS-инъекция - это вставка JavaScript-выражений для отправки данных на сторонний хост. Тут скорее приходится функция htmlspecialchars(). | |
|
|
|
|
|
|
|
для: cheops
(12.06.2011 в 22:07)
| | а функция mysql_real_escape_string исключит возможность XSS-инъекции?
при использовании сессии в кукисах хранится только SID? | |
|
|
|
|
|
|
|
для: xpom
(12.06.2011 в 21:58)
| | Да, будет довольно безопасно (насколько вообще можно добиться безопасности).
>или подвергаться будет взлому?
Подвергаться взлому система может по разным причинам. Если вы исключаете возможность XSS-инъекции, то и обычные сессии будут безопасны (так как для воровства cookie придется по сути устанавливать контроль над машиной клиента). | |
|
|
|
|
|
|
|
для: cheops
(12.06.2011 в 21:04)
| | функция session_set_save_handler() сильно сложная получается...
будит ли безопасно, если мы хешировать будем пароль в md5 и проверять в течении работы пользователя в сессии его ip адрес на изменение? Вот и вся защита...или подвергаться будет взлому? | |
|
|
|
|