ציטוט:
נכתב במקור על ידי MasterT
זה XSS, וזה לא מה שימנע SQL INJECTION.
מה? למה? זה באמת בזבוז משאבים נוראי. למה? תן לי סיבה אחת. שיכניס מצידי 1000001. איך זה יפגע בתפקוד המערכת?
מה? htmlspecialchars ל-textarea באופן מיוחד? למה באופן מיוחד?
ואני יכול לנחש למה אתה מתכוון, ובאמת - זה גם, אני אצטט את המגיב מהדיון השני - "שיטה מטופשת". זה בגלל שאתה עושה nl2br ואז htmlspecialchars. מה שהסברת לו זה איך לבזבז משאבים באופן לא יעיל.
זה נחמד ומבורך לעזור, אבל אל תטעה אותו.
|
אני משתמש ב id עם התנאי יותר לאסתטיקה ורצינות מאשר להגנה כי זה לא ממש מגן
ככה שאם לא קיים עמוד כזה הוא מראה דף עם שגיאה שאין עמוד כזה זה יותר רציני ככה.
דבר שני אפשר להכניס ב textarea סקריפטים. התג htmlspecialchars מונע את האפשרות הזאת. ולדבר הראשון שאמרת ברור שזה ימנע איך תוכל להכניס קודים שונים ל get עם יש על זה Htmlspeacilchars :\
עריכה וגם במשתמשים בתנאי הזה שרשמתי שם זה מונע אפשרות להכניס תווים לא חוקיים כמו ;,` וכו'.. (שמי שמבין בפריצות יודע שהתווים האלה הם חלק גדול)