|
| |
|
|
| |
для: glsv (Дизайнер)
(17.02.2005 в 16:04)
| | | Всё понятно!
Большое ВСЕМ спасибо. | |
| |
|
|
| |
|
|
| |
для: Никоза
(17.02.2005 в 12:47)
| | | Так то оно так, но…
В политике безопасности безотказно действует принцип – лучше разрешить только нужное, чем запрещать ненужное. Гораздо безопаснее ограничить логин, например, только буквами и цифрами. Есть афоризм: в каждой программе есть одна неотлаженная ошибка.
Можно проглядеть/не заметить возможных проблем. Поэтому лучше уж разрешить только ввод определенных символов, а остальное безжалостно вырезать. | |
| |
|
|
| |
автор: Никоза (17.02.2005 в 13:17) |
|
| |
для: Никоза
(17.02.2005 в 12:47)
| | | А можно вообще разрешить выводить эти спецсимволы. Возможно, я неправ, но... Я вот подумал - спецсимвол ведь опасен не сам по себе, а только в сочетании. (кусок кода). Поэтому можно фильтровать так:
Функция фильтрации мата, только запрещает СОЧЕТАНИЯ СИМВОЛОВ.
php, perl, fopen, =$, !=, ($, [, {, login, pass, и так далее... Я не все функции знаю пока ещё, (я вообще кроме асмы и делфи ничего не знаю :-)),
но принцип Вы поняли... Тут можно будет писать в логине любые символы которые в голову взбредут... Этакая "думающая" функция... Хотя возможно тут я что-то не предусмотрел? | |
| |
|
|
| |
автор: Никоза (17.02.2005 в 12:47) |
|
| |
для: glsv (Дизайнер)
(17.02.2005 в 12:41)
| | | Потому-то я и добавил уточнение - каждый спецсимвол заменять не решеткой, а СВОЕЙ латинской буквой. Каждому символу - своя латинская буква. Тогда уж совпадения исключены.
Постоянные сообщения об каких-то ошибках могут оттолкнуть человека от сайта. А таким способом мы разрешаем ему вводить любые пароли. Например, кто-то захочет красиво написать вот такой логин <<<$>>>
Ну и пусть пишет... :-))) | |
| |
|
|
| |
|
|
| |
для: Valeri
(17.02.2005 в 10:29)
| | | В принципе, я с вами согласен. | |
| |
|
|
| |
|
|
| |
для: Никоза
(17.02.2005 в 11:46)
| | | это почему же он с легкостью авторизуется ? если он ввел к примеру ?, то будет замена на #, при авторизации он вводит ?, при проверке символы не совпадают, аторизация не проходит.
если учесть что при авторизации так же все заменяется на #, тогда он сможет авторизоваться, но в таком случае пусть маленький % но существует такая возможность, что два пользователя ввели одни запрещенные но разные символы и все они заменились на #, и что тогда ?
конечно можно поставить проверку что если ткой-то логин и пароль уже есть, то возвращает на регистрацию, но это мне кажется только еще больще ухудшит дело.
к чему городить такой огород с такими проверками ? | |
| |
|
|
| |
автор: Никоза (17.02.2005 в 11:50) |
|
| |
для: Никоза
(17.02.2005 в 11:46)
| | | Впрочем, каждый спецсимвол можно заменять СВОЕЙ латинской буквой. Тогда ещё лучше. А основной момент такой же - пусть пишет что хочет. Лишь бы не раздражать... Всё равно при проверке всё совпадёт. | |
| |
|
|
| |
автор: Никоза (17.02.2005 в 11:46) |
|
| |
для: Valeri
(17.02.2005 в 10:29)
| | | Он с лёгкостью авторизуется.
(Но я имею в виду, что в блоке проверки правильности логина и пароля будет эта же функция. Просто напросто она одинаково заменит знаки и при регистрации, и при проверке. А пользователя ни к чему нервировать всякими запрещениями и мессагами. Это я как обычно с учётом удобства посетителей. Пусть пишет, что хочет. Желание посетителя - закон!) | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(16.02.2005 в 22:57)
| | | вообще-то по идеи если в логине или пароле будут запрещенные символы и их подчистит
$login=strtr($login,"$?<>=+%&^([{*", "#############");
$pass=strtr($pass,"$?<>=+%&^([{*", "#############");
то надо бы так же выбрасывать на страницу регистрации с указанием, что используются запрещеные символы.
а то получается, что они заменяются а пользователь этого не знает, он может их ввести без злого умысла, но в таком случае он не сможет авторизоваться. | |
| |
|
|
| |
|
|
| |
для: hazy
(16.02.2005 в 18:00)
| | | Можете прочитать статью про авторизацию по ссылке
http://www.softtime.ru/info/articlephp.php?id_article=34 | |
| |
|
|
|
