Komentarze do: Sens tworzenia własnych systemów filtracji http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji Bełdziowe spojrzenie na aplikacje internetowe Wed, 23 Nov 2011 11:05:26 +0000 hourly 1 http://wordpress.org/?v=3.1.1 Autor: Michał Ławicki http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-406 Michał Ławicki Sun, 01 Mar 2009 21:26:06 +0000 http://localhost/wordpress/?p=108#comment-406 tak mozna, jesli chodzi o manipulacje kodem HTML to polecam zapoznanie się z wtyczką FireBug do FireFoxa, która umożliwia pełną edycję zarówno kodu HTML jak i CSS / JS a filtrowane powinny być wszystkie dane, które pochodzą z zewnątrz tak mozna, jesli chodzi o manipulacje kodem HTML to polecam zapoznanie się z wtyczką FireBug do FireFoxa, która umożliwia pełną edycję zarówno kodu HTML jak i CSS / JS

a filtrowane powinny być wszystkie dane, które pochodzą z zewnątrz

]]> Autor: stopek http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-404 stopek Sun, 01 Mar 2009 20:58:06 +0000 http://localhost/wordpress/?p=108#comment-404 tak nawiasem . jesli uzytkownik przy rejestracji ma opcje select,radio lub checkbox .. to moze dowolnie manipulowc ta zawartoscią? te zmienne tez musze filtrowac tak? tak nawiasem . jesli uzytkownik przy rejestracji ma opcje select,radio lub checkbox .. to moze dowolnie manipulowc ta zawartoscią? te zmienne tez musze filtrowac tak?

]]> Autor: Michał `Bełdzio` Ławicki http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-80 Michał `Bełdzio` Ławicki Thu, 03 May 2007 16:42:27 +0000 http://localhost/wordpress/?p=108#comment-80 ok teraz wszystko rozumiem :) i oczywiście przyznaję rację :) ok teraz wszystko rozumiem :) i oczywiście przyznaję rację :)

]]> Autor: lpilorz http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-79 lpilorz Thu, 03 May 2007 16:38:28 +0000 http://localhost/wordpress/?p=108#comment-79 Wcięło nowe linie, dlatego komentarz do strip_tags() może być niejasny. Zastanawiam się, jak Twój system potraktuje ten komentarz ;) Chodziło mi o zastąpienie tej funkcji taką, która wykonuje następujące trzy akcje:1. poprawia kodowanie - po to, aby uniknąć błędu w IE (na http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/ w rozwiązaniu do trzeciego skryptu)2. zamienia znaki specjalne na encje - po to, żeby bezpieczne były również atrybuty HTML (test, itp.)3. opcjonalnie usuwa znaki specjalne, jeśli chcemy wykorzystać zmienną w atrybutach on* (tutaj nie podam przykładu) Wcięło nowe linie, dlatego komentarz do strip_tags() może być niejasny. Zastanawiam się, jak Twój system potraktuje ten komentarz ;) Chodziło mi o zastąpienie tej funkcji taką, która wykonuje następujące trzy akcje:1. poprawia kodowanie – po to, aby uniknąć błędu w IE (na http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/ w rozwiązaniu do trzeciego skryptu)2. zamienia znaki specjalne na encje – po to, żeby bezpieczne były również atrybuty HTML (test, itp.)3. opcjonalnie usuwa znaki specjalne, jeśli chcemy wykorzystać zmienną w atrybutach on* (tutaj nie podam przykładu)

]]> Autor: Michał `Bełdzio` Ławicki http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-78 Michał `Bełdzio` Ławicki Thu, 03 May 2007 16:07:42 +0000 http://localhost/wordpress/?p=108#comment-78 1. is_int() nie, ale już is_numeric tak :-)2. czemu zamiast strip_tags chcesz konwertować?3. jeśli chodzi o usuwanie konkretnych zestawów znaków to jestem za wyrażeniami regularnymi :) dzięki za komentarz :) 1. is_int() nie, ale już is_numeric tak :-)2. czemu zamiast strip_tags chcesz konwertować?3. jeśli chodzi o usuwanie konkretnych zestawów znaków to jestem za wyrażeniami regularnymi :) dzięki za komentarz :)

]]> Autor: lpilorz http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-77 lpilorz Thu, 03 May 2007 10:35:58 +0000 http://localhost/wordpress/?p=108#comment-77 Dla uzupełnienia:is_int() sprawdza typ zmiennej, a nie zawartość, więc dla danych GET/POST/COOKIE zawsze zwróci false (mają typ string/array). Trzeba byłoby najpierw rzutować zmienną na typ int, a wtedy i tak jest na pewno czysta, więc przy filtrowaniu danych is_int() nie ma raczej zastosowania. Najbardziej wydajne i skuteczne jest rzutowanie.Zamiast strip_tags() sugerowałbym:- mb_convert_encoding() lub iconv() dla poprawienia kodowania- htmlspecialchars()+ENT_QUOTES dla zamiany na encje- całkowite usunięcie znaków specjalnych (w tym nawiasów, średników, nowych linii itp.) w przypadku zmiennych wstawianych do javascriptu w atrybutach HTML (np. onclick, onload) Dla uzupełnienia:is_int() sprawdza typ zmiennej, a nie zawartość, więc dla danych GET/POST/COOKIE zawsze zwróci false (mają typ string/array). Trzeba byłoby najpierw rzutować zmienną na typ int, a wtedy i tak jest na pewno czysta, więc przy filtrowaniu danych is_int() nie ma raczej zastosowania. Najbardziej wydajne i skuteczne jest rzutowanie.Zamiast strip_tags() sugerowałbym:- mb_convert_encoding() lub iconv() dla poprawienia kodowania- htmlspecialchars()+ENT_QUOTES dla zamiany na encje- całkowite usunięcie znaków specjalnych (w tym nawiasów, średników, nowych linii itp.) w przypadku zmiennych wstawianych do javascriptu w atrybutach HTML (np. onclick, onload)

]]> Autor: Michał `Bełdzio` Ławicki http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-76 Michał `Bełdzio` Ławicki Mon, 30 Apr 2007 16:09:43 +0000 http://localhost/wordpress/?p=108#comment-76 No tak, ale nikt tu nie mówi, że mamy nie filtrować danych. Chodzi o to, że 99% własnych mechanizmów filtrowania danych nie ma sensu. No tak, ale nikt tu nie mówi, że mamy nie filtrować danych. Chodzi o to, że 99% własnych mechanizmów filtrowania danych nie ma sensu.

]]> Autor: pawkow http://www.beldzio.com/sens-tworzenia-wlasnych-systemow-filtracji/comment-page-1#comment-75 pawkow Mon, 30 Apr 2007 16:04:56 +0000 http://localhost/wordpress/?p=108#comment-75 bo filtracja jest najważniejsza :) bo filtracja jest najważniejsza :)

]]>