-
Mail injection
Mimo swojego wieku e-mail pozostaje w czołówce sposobów komunikacji w Internecie. Niemal na każdej stronie firmowej czy domowej można znaleźć adres e-mail umożliwiający skontaktowanie się z jej właścicielem. Na wielu z nich komunikacja jest ułatwiona poprzez wstawienie formularza, którego wypełnienie automatycznie wysyła maila. Działanie takie poza ułatwieniem życia użytkownikom może ułatwić życie także spamerom, ale…
-
Obsługa HTML
Jakiś czas temu w notce Niebezpieczeństwo HTML’a nakreśliłem problem wstrzyknięć kodu HTML. W komentarzach kilkukrotnie pojawiło się pytanie o sposób obrony przed tego typu zagrożeniem. Najprostszą obroną jest usuwanie wszelkich tagów HTML z przesłanych danych. Możemy tego dokonać korzystając z funkcji strip_tags oraz htmlspecialchars. W przypadku drugiej funkcji warto zainteresować się jej opcjonalnymi parametrami tzn.…
-
Sens tworzenia własnych systemów filtracji
Do potrzeby filtracji danych pochodzących od użytkownika nie trzeba nikogo przekonywać. Pytaniem, które rodzi się podczas pisania systemu filtracji jest sposób, w jaki należy to robić, by system był bezpieczny. Podczas tego procesu możemy korzystać z udogodnień, które udostępniają języki programowania, a także pisać własne rozwiązania. Jednak czy warto to robić?