נכתב במקור על ידי MasterT
וכשהמנהל מעוניין שיוכל למנות צוות כתבים/עוזרים? כיצד תריץ את הסינון המתאים?
עדיין, אבל אם מישהו "נתן למנהל את האקדח ואמר לו לכוון לרגל וללחוץ"?
ובמידה והוא רצה לעשות בכותרת, "החיים <הם> טובים", וזה יסתיר את ה"<המ>"?
אני אומר, אם בשביל עוד 10 אלפיות שניה(/מאית) אני בטוח מכל הכיוונים - לא אכפת לי להוסיף את המאית הזאת, ואי אפשר לדעת, לעשות כל פעם mysql_real_escape_string, htmlspecialchars, intval - אולי המשקל שאתה מוסיף, שזה עוד 60 בייטים! אחרי שאתה מוסיף את זה בקובץ מספיק, בגלל הנפח הגדול(אם יש 20 ערכים שאתה עושה להם את זה), זה כבר 1200 בייטים! שזה יותר מקילובייט! ואז לשרת יקח יותר זמן לעבד את זה!
בכל דבר אתה יכול להגזים, אבל אם אומרים לי, "אנחנו לוקחים מאית כל פעם ומבטיחים הגנה מלאה" - אני לוקח. ואני יודע, לעומת המתכנתים שבפורום שעושים את הדברים הבאים.
1. עושים אם יש בכתובת/בדבר הנשלח SELECT, DELETE, או UNION - נותן באן.
למה לא טוב? שלחתי בהודעה בטעות SELECT/DELETE, האתר המתחרה בכוונה נותן קישור לדף עם SELECT בכתובת כדי שלא יוכלו להיכנס, בסוף יהיו פקודות חדשות
2. str_replace("<script"), mysql_real_escape_string כדי למנוע ג'אווה סקריפט - קל מאוד מאוד לעקוף את זה.
ואני יכול לתת עוד דוגמאות להרגלים לא נכונים לטעמי, שלא נדבר שזמן הטעינה שלהם לרוב רב יותר - הדרך שלי אומרת ככה. לא מעניין אותי מה יכניסו לי - לא יכניסו נכון? לא יקבלו תוצאות.
הפעם היחידה שאני עושה סינון, זה ב-htaccess - אבל זה רק למען הנוחות. אני עובד עם htaccess באופן מלא.
תחליט אתה, מאית שניה ואבטחה מלאה או לא?
כמו כן, בגלל שרוב ה"מתכנתים" כאן ישתמשו במערכים של קלט מהמשתמש בלי בדיקת isset, ואם הם שומרים USER_AGENT / HTTP_REFERER בלי שום סינון, ואם הם מסתמכים על $_SERVER["HTTP_X_FORWARDED_FOR"] בשביל לגלות IP, בסופו של דבר, יחסית לרוב ה"מתכנתים" בהוסטס - השיטה שלי יותר יעילה - והרבה יותר בטוחה.
יחסית למתכנתים מחוץ לבועה - חלק חלק, אבל אם אתה שואל את עצמך, האם תקריב מאית שניה בשביל 100% אבטחה, אני מנחש שתענה כן?
|