Samozřejmě že je nutné ošetřit obojí, ale tvé příklady nemají hlavu ani patu :) chyba v phpmyadminu bude fatální pro jakoukoliv ochranu (pokud bude phpmyadmin na serveru), pro tebe je náchylnější i při chybě špatného výpisu dat v phpmyadminu (v případě ošetření vstupu takovýto typ chyby nevadí) ... tvůj příklad s wordem by platil pouze v případě WSW editoru, do klasického textarea se vloží čistý text ... v phpRS WSW defaultně není, natož pak ve frontendu ... no to je jedno, každý si dělejme jak uznáme za vhodné, ty si ukládej všechny útoky do db a ošetřuj si je na výstupu, já si ošetřím obojí :) rozhodně si ale žádné takovéto kódy a znaky někde kde nemají co dělat ukládat nebudu a nebude si je ukládat ani žádný z mých zákazníků (pokud to nebude jeho výslovným přáním i po mém upozornění z hlediska bezpečnosti) ;) jakou cestou půjde Jirka je jeho věc, předpokládám ale, že se v této problematice orientuje natolik aby věděl, že je nutné data očistit na vstupu před jejich uložením, případně i na výstupu, rozhodně však ne pouze na výstupu ...
btw: nemluvě o tom, že stále asi nechápeš, co je to cílená kontrola zadání na vstupu ... kde budu chtít povolit cokoliv, nebo nějaké znaky atd., tak je povolím, ale prostě v každém vstupu dat do systému povolím jen co bude třeba a nikdy ne něco navíc, co je pro mě potenciálním nebezpečím (ať už přímým, nebo vedlejším). Takže samozřejmě, že když někde budu chtít od uživatele HTML kód, umožním mu ho vložit, až budu chtít někde vstup z WSW, bude vstup z WSW, až budu chtít nick, dostane prostě uživatel podmínku zadat smysluplný nick tak jak je chápán (alfanumerické znaky atd. jak jsem psal) a ne HTML kód nebo změť jiných na daném místě a k danému účelu nesmyslných znaků ... snad už chápeš logiku a smysl kontroly na vstupu, nejedná se o striktní zakázání všeho a všude, ale o striktním přístupu k jednotlivým vstupním položkám dle smyslu daných položek (co chci a očekávám od uživatele, povolím, co nechci a není žádáno, nebude povoleno - ať se to uživateli líbí nebo ne, prostě si tím stanovým nepsaná pravidla, která budou muset být dodržována) ... HOWGH
========================
WEB:
Publikační systém WAMOS
SEO:
SEO analýza zdarma
OPEN PROJECTS:
Studentský portál VUT
HOSTING:
WebGlobe.cz
ICQ:
313887644
EMAIL: xsuchy09(at)centrum.cz
========================
Celkem upraveno 1×. Poslední úprava xsuchy09 v 07.12.2007 01:21.