http://softtime.ru/forumhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538050спасибо за ответыОпасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 20:06:47 +0300yvgorshkovhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538049Об этом можно и не спрашивать - нельзя выполнить код не запустив его. Но ведь можно сперва получить нечто вредное...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 17:17:20 +0300confirmhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538048Что фильтровать надо я уже понял, но я спрашиваю о другом: Верно ли утверждение, что если не используется include/require функции,...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 16:24:21 +0300yvgorshkovhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538047Вряд ли вы обойдетесь без include/require по простой причине - очень неудобно весь код свалить в один файл. Можно ведь...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 15:41:46 +0300confirmhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538046с eval() тоже всё понятно. Верно ли утверждение, что если не используется include/require функции, в скрипте невозможно использовать сторонний php...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 15:13:00 +0300yvgorshkovhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538045Ну как, точно также как и с echo, только если вздумается выполнить полученное - eval(). А ведь eval используют, и...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 15:00:33 +0300confirmhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538044и как там может червяк завестись? Хотя бы простой пример, а то я не понимаю. С SQL иньекцией всё понятно.Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 14:52:11 +0300yvgorshkovhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538038"и XSS это единственное, что может быть опасно. Нет, это не единственное, если вы не будете обрабатывать данные извне, то...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 13:38:31 +0300confirmhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538037Да, есть такое дело, и XSS это единственное, что может быть опасно. Но меня интересует, можно ли пользуясь этой уязвимостью,...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 12:56:14 +0300yvgorshkovhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538036"form" "input name=id value=""script"alert('Не обрабатывать данные извне, это опасно!')"/script"" /" "button"Send"/button" "/form" Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 12:32:07 +0300confirmhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=90396#post538033Здравствуйте! Допустим есть такой код: "?php $var = $_GET; echo $var; ?" Как видно он получает GET параметр и не...Опасность отсутствия фильтрации входных переменных преувеличена?Mon, 11 Nov 2013 11:17:39 +0300yvgorshkov