Tuli tuossa mieleen kun nyt olen n. kuukauden säätänyt php:n kanssa, että kannattaako kaikki tieto mitä formien kautta saadaan käyttäjiltä ajaa jonkin filtterin läpi?
Lähinnä itselle tuli mieleen kooditagien poisto, mutta kannattaisiko tiedolle tehdä vielä jotain muuta, ettei pirulaiset saa haittaa tehdyksi lomakkeideni kautta?
Kyllä ja suodinta kannattaa kiristää vielä jos tiedot näytetään käyttäjille, jolloin pitää saada estettyä javascript. Myös ylimääräiset "- ja '-merkit pitää käsitellä.
Foorumiani varten väkersin tällaisen:
function code($str)
{
return mysql_real_escape_string(nl2br(htmlentities($str)));
}Onko tuo millään tapaa järkevä? Tällä hetkellä koodaan tuolla oikeastaan kaiken syötteen, käyttäjätunnuksista ja viestien otsikoista lähtien. Encodaukseen käytän vain stripslashes() funktiota.
Niin itse käytän tämänlaista functiota, jonka olen napannut Frozenballin softista.
function db_escape($value) {
if (is_array($value)) {
foreach ($value as $key => $vv) {
$value[$key] = db_escape($vv);
}
return $value;
}
if ($value == "") return "''";
// Stripslashes
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
// Quote if not integer
if (!is_numeric($value) || $value[0] == '0') {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}Rakas pölyimuri. Minä lähtisin siitä asetelmasta, että onko tarpeen varmistaa kaikki pätkät. Kahtos, kun jos mie tekisin semmosen jänskän sivun jonne kaikenmaailman nettihörhöt saisivat lähetellä viestejä, niin kyllä minä luottaisin ihan siihen perusperiaatteelliseen textfieldiin. Tokihan se käy mielessä kun tietää, että minkälaista terroristikoodia sitä voisikaan ajaa viattomissa palveluissa, mutta kuitenkaan ei sitä kukaan tee - paitsi se jurrissa oleva naapurin narkkarin penikka. Matti Meikäläinen joka eksyy sivullesi ei varmastikaan ymmärrä tuon taivaallista tietoturvasta tai siitä millaisia varokeinoja olet ottanut huomioon.
Minä suosittelisin, vaikkei sillä mitään merkitystä kenellekään ole, että lähtisit ihan siitä perimmäisestä kohdasta liikkeelle ja sallisit "periaatteessa" kaiken. Sitten, jos sattuu jotain harvinaisen kokkelimaista, niin säädät asetuksia asteen kerrallaan demokraattisempaan, eli kiristät lenkkiä.
Periaatteellisesti jokaisen tulisi toimia eettisesti oikein, mutta jos rehellisiä ollaan, niin ei kukaan [paitsi maksumies] välitä siitä, että oletko ottanut ilmatieteen laitoksen sivuilta säätietoja vai et. Se on vähän niinkuin semmoinen yleispätevä sääntö elämään, että jos se ei satuta ketään, niin antaa olla. Joten suosittelen mitä suurimmalla sydämellä, lähes neljännesvuosisadan kokemuksella, tuikkivien tähtien ja näkymättömien menninkäisten runolausunnan kautta, että "anna kaikkien kukkien kukkia vaan, mut' jos ne alkaa ketuttaa niin ne pitää tipauttaa" - niinkuin Mao-setä sen aikanaan ilmaisi.
Toisilla on halvat huvit, ja hulluilla ilmaiset. Kyllä noita kivojen jäynien tekijöitä riittää. Jos kuljettaa avovaunussa lastia, niin kyllä se lasti on helpompaa kiinnittää ennen lähtöä kuin keräillä sitä rinteestä kesken matkan. Ei kaikkea voi oletusarvoisesti sallia.
Aihe on jo aika vanha, joten et voi enää vastata siihen.