|
|
|
| Подскажите, на что нужно проверять не модерируемые комментарии, для предотвращения ущербу сайта?
И конечно чтобы ссылки не добавлялись, как это сделать? | |
|
|
|
|
|
|
|
для: xpom
(01.04.2012 в 17:35)
| | Это зависит от того где комментарий хранится. Обычно защищаются от SQL-инъекций при вставке данных и от запуска JavaScript и XSS-инъекций при выводе данных в браузер. | |
|
|
|
|
|
|
|
для: cheops
(01.04.2012 в 18:31)
| | это текст...хранящийся в базе данных...попадает под все проверки...это лучше на
JavaScript делать? | |
|
|
|
|
|
|
|
для: xpom
(01.04.2012 в 21:50)
| | Проверять нужно на стороне сервера. ВСЕГДА! Не зависимо от того делаете вы проверку на стороне клиента или нет. Вы можете сделать проверку и на стороне клиента на JS, для удобства пользователя, чтоб ему не приходилось переписывать при ошибке. Но это не освобождает вас от проверки на стороне сервера, т.к. злоумышленник отключит JS и все клиентские проверки вместе с ним. | |
|
|
|
|
|
|
|
для: Sfinks
(01.04.2012 в 23:06)
| | спасибо...на ограничение вводимых символов я сделал на JS и функцией strlen() проверил на сервере...
а вот как проверить остальные проверки на то, чтобы если злоумышленник введет вредоносный код, не нанес вреда сайту? | |
|
|
|
|
|
|
|
для: xpom
(02.04.2012 в 16:35)
| | Либо вы их находите и вырезаете с помощью рег. выражений, либо htmlcpecialchars() | |
|
|
|
|
автор: Sfinks80 (02.04.2012 в 19:29) |
|
|
для: xpom
(02.04.2012 в 16:35)
| | При внесении в БД используйте mysql_real_escape_string(), при выводе в браузер htmlspecialchars(). | |
|
|
|