הוסטס - פורום אחסון האתרים הגדול בישראל - אבטחה

עמוד 2 מתוך 2

הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - אבטחה - SQL (https://hosts.co.il/forums/showthread.php?t=76390)

AlmogBaku

10-07-09 14:16

ציטוט:

נכתב במקור על ידי The Chosen Generl (פרסם 727000)

1+

אם הפלט לא תקני צריך להחזיר ארור למשתמש/להעביר לעמוד אחר או לטפל בזה בדרך כלשהי.
לא לשנות את הבעיה...

למה שתעיף את זה? כי בתור מאבטח אתרים, כל מילה שתגיד תחשב בעניי לבדיחה.אין דבר כזה.

לגבי האימות קלט- זה תלוי, לא תמיד מעניין אותי להציג למשתמש שלי שגיאה, לפעמים זה יהיה מבחינתי "בעיה שלו".

Tomer

10-07-09 16:37

לא על כל שטות צריך להעיף למשתמש הודעת שגיאה / להרוג את הסקריפט.

אם המשתמש הכניס כמה אותיות ומספר בתור מס' עמוד, והקלט מהמשתמש עבר סינון כלשהו ע"י mysql_real_escape_string לדוגמא, אין צורך לזרוק שגיאה שהוא לא הכניס מס'. פשוט לחפש את מה שהוא הכניס במסד, בדיוק כאילו היה מס', ולזרוק שגיאה אם מס' העמוד לא נמצא (ובמידה ויש רק מספרים - תזרק שגיאה בכ"מ, כי אין עמוד עם אותיות).

אדיר	10-07-09 17:04

אלמוג:
אין שום פסול בהגדרה "מאבטח אתרים", עכשיו אתה מוזמן להתייחס ולעשות מה שבא לך עם מה שאני אומר.

תומר:
הרי בכל מקרה תוצג שגיאה, אז למה סתם לשלוח בקשה למסד ולבצע פעולות לא נחוצות אם אתה יודע מראש שהעמוד לא קיים?
אתה פשוט מודיע למשתמש שהקלט שהוא הכניס לא תקין/ לא קיים עמוד כזה וגומר עניין.

AlmogBaku

11-07-09 23:48

ציטוט:

נכתב במקור על ידי xPerfection (פרסם 727059)

מה שפסול בזה הוא שזה מחשבים-היי טק וברשותך אתה הופך את התחום עיסוק שלי לבדיחה.
זה לא גן ילדים, אם אתה ילד ורוצה לעבוד בזה אף אחד לא מנוע ממך, רק מבקשים שלא תמציא מושגים ותטעה אחרים.

כל הזמנים הם GMT +2. הזמן כעת הוא 05:51.

עמוד 2 מתוך 2

הצג 40 הודעות באשכול על דף אחד