ציטוט:
נכתב במקור על ידי RS324
וויכוח ארוך וטיפשי כולכם אומרים בעצם כמעט את אותו הדבר
השיטה שאני משתמש , באופן אוטומטי אני עובר על המערכים של GET POST REQUEST SESSION ו COOKIE
ומחליף את כל התווים כדוגמאת " , ' וכו' בקוד ASCII שלהם
בעת הכנסה למסד אני גם עושה מעבר אוטומטי על המערך שאני מכניס למסד ובודק אם זה ערך מספרי מוסיף לו INTVAL / FLOATVAL ואם זה טקסט אז מוסיף ADDSLASES
באופן אוטומטי ושומר את זה במסד.
כמובן שאני מסנן מ SCRIPT וכד'
בהצגה אני מחליף את זה את הקודים של ה ASCII בחזרה ל <>" , ' ודומיהם... אבל לא תמיד, תלוי בתצוגה , אם זה משהו שמנהל הכניס (לדוגמא מתוך TINYMCE - אז כן)
אם לא אז אני לא מחליף ובמקרה הכי גרוע זה מוצג כ ASCII על המסך...
אני מריץ את הפעולות האלה בהתחלת הסקריפט ומאז משתמש ישר במשתנים של ה POST וכד'
לא צריך לבנות מערכים ולהמציא מחדש בשביל זה
אם יש משהו שדורש יחס מיוחד אז אני עושה את זה פרטני, פשוט וקל...
הסתבכתם לגמרי עם כל הנושא
|
זה לא נכון שהסתבכנו, הויכוח הוא כמה זה תורם מבחינה אבטחתית להשתמש במה שאתה משתמש לעומת מה שאני משתמש (איבטוח אינדבידואלי של משתנים).
אתה בא ומחזק את הטענה של דניאל, אבל לדעתי זה עניין של נוחות כתיבה.. לי יותר נוח ליצור מערך ולהחליט אם אני רוצה לעשות מניפולציה על משתנים, לך נוח לקבל אותם מוכנים.
אני גם לא אוהב להתחיל להתעסק עם קוד אחרי שקיבלתי אותו מהמסד. אני אוהב לשלוף ולכתוב כמו שהוא. אז אתה עושה גם בשליפה טיפולים, אני מעדיף לשלוח את זה מאובטח - שוב, בחירה של המתכנת.