tietoturva nettisovelluksissa on edelleen asia, joka askarruttaa minua. kysyisin teiltä mielipidettä seuraaviin asioihin:
1) miten sivuston merkistökoodaus kannattaisi toteuttaa, että ei synny esim tilannetta jossa tietokannan ylläpitoa hoitava sivu on koodattu utf-8:lla ja
käyttäjän selain taas käyttää utf-7. onko tällöin vaaraa siitä, että tietokannan suojaukset pettää erityyppisen merkistökoodauksen takia?
2) millaista merkistökoodausta kannattaisi käyttää toisaalta tietokannassa ja myös sitä ylläpitävällä www-sivulla?
Mielestäni merkistökoodauksella ei pitäisi olla mitään vaikutusta sivuston tietoturvaan.
Käytät kaikkialla vaan UTF-8:aa, niin avot.
muistelen jostakin lukeneeni, että esim vaarallisten merkkien eliminointi kantaan manevästä datasta voi joskus ontua erilaisten merkistökoodausten takia -vai olenko väärässä?
Joo, tämä moka oli ainakin PHP:n kirjastofunktio mysql_escape_string()-toteutuksen kans. mysql_real_escape_string() korjaa asian.
Blaze kirjoitti:
Joo, tämä moka oli ainakin PHP:n kirjastofunktio mysql_escape_string()-toteutuksen kans. mysql_real_escape_string() korjaa asian.
Olenkin ihmetellyt mitä eroa noilla on. Ehkä se luki manuaalissa, mutta en ole jaksanut lukea.
mikä on mielestänne hyvä (paras) merkistökoodaus tietokantaan. onko se ehkä tuo utf-8? aika kiusallista joskus, kun joutuu pelaamaan entiteettien kanssa että saa sivun näyttämään ehjältä!
Jos sulla ei oo painavaa syytä valita jotain muuta, niin ota se UTF-8.
Aihe on jo aika vanha, joten et voi enää vastata siihen.