[Daniel]

ציטוט:

נכתב במקור על ידי BlueNosE

אני באמת לא מבין..
מה לא בטוח בלאבטח סלקטיבית את הVARIABLE המתאים? :\
זה חוסך את הX מאיות האלו של האבטחה של הדברים שלא צריכים לעבור את האבטחה הזאת.

ועם FCK אין שום בעיה לכתוב החיים <הם> טובים, אתה יודע.

SCRIPTS? אז אני מריץ ביטוי PREG ברמה בסיסית וחוסם.
STYLES? אותו חרא.

עכשיו, בקשר להרגלים לא נכונים, אני עובד עם ERROR_FULL והשמרנות שלי עולה בהרבה שורות קוד. בחיים לא חשבתי לסנן סלקטיבית מילים כמו DELETE או SELECT. שוב, כל מידע שמגיע אלי ואמור להיות מאובטח - מתקבל מאובטח. אני שוב לא מבין מה הבעיה לאבטח רק את מה שצריך.

אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?