Советую предварительно отсеивать по телефону/скайпу. Незнание основ можно выяснить и не начиная допрос по телефону, косвенноГде-то пару месяцев назад собеседовал толпы "программеров" - 99 процентов отсеивались на этих вопросах.
я не понял вопрос =)надо ли фильтровать на предмет безопасности, параметры приходящие от пользователя
ты не прошел собеседование)))я не понял вопрос =)
Что значит "фильтровать на предмет безопасности"?
Что значит "параметры приходящие от пользователя"?
ну вот как например в WP все комментарии в обязательном порядке проходят через strip_tags итдне понял вопрос =)
Вот и еще один не прошел...Ну просто от пользователя приходят данные...
И данные эти, в зависимости от подхода, могут быть отфильтрованы на предмет xss, но это какбе все...
там продолжение естьВот и еще один не прошел...
Просто есть два лагеря:
1) Сохраняем в базу все как есть
2) Не срем в базу
Я придерживаюсь первого лагеря =)
почем аккаунт брал?Все равно не прошел.
Вот например комментарии с ограниченным HTML, как на хабре. Там если введут в коммент <script>alert(1)</script>, тоже это в базу писать как есть? =)
Ушел за попкроном, жду очередного холивара на тему, что фильтровать, а что нет...Все равно не прошел.
Вот например комментарии с ограниченным HTML, как на хабре. Там если введут в коммент <script>alert(1)</script>, тоже это в базу писать как есть? =)
тут не может быть холивараУшел за попкроном, жду очередного холивара на тему, что фильтровать, а что нет...
ты не прошел собеседование =))Ушел за попкроном, жду очередного холивара на тему, что фильтровать, а что нет...
?почем аккаунт брал?
ты не прошел собеседование =))
правильный ответ такой:
если пользователю предоставляется использовать какой-то язык (программирования, разметки, запросов...), но его нужно ограничить в правах его использования - в этом случае используется фильтрация.
во всех остальных случаях, разумеется, данные считаются просто данными, а вопрос т.н. "безопасности" является на самом деле вопросом приведения к правильно записанному литералу в каждом конкретном случае (т.н. "экранирование").
Просто есть два лагеря:
1) Сохраняем в базу все как есть
2) Не срем в базу
foreach ($comments as $comment)
{
$purifier = new CHtmlPurifier()
echo $purifer->purify($comment->text)
}