Написание модуля безопасности

[Kirill]

Написание модуля безопасности

Хочу написать класс(а может и функцией ограничусь) безопасности для сайта, который будет фильтровать входящие данные(массивы GET и POST и кукисы). Для этого надо:
1) фильтровать все функц. htmlspechialchar
2) должен быть включен параметр magiq_quotes тогда кавычки автоматом проэкранируются
3) под вопросом. Меня интересует надо ли фильтровать строку на \n \r? Может ли возникунть такая ситуация когда эти символы смогут принести вред? Какие ещё символы вы бы посоветовали профильтровать?

 

[neko]

те из которых можно составить матерные выражения

 

[itprog]

Зачем изобретать велосипед, такой класс уже есть в сети, про него было написано в phpinside

 

[SelenIT]

1) Абсолютно лишнее. К безопасности входящих данных htmlspechialchars никакого отношения не имеет.
2) Во-первых, этот параметр должен быть не включен, а выключен, чтоб не пишлось писать еще один класс для очистки входящих данных от слешей при их обработке. Во-вторых, сам по себе magic_quotes не гарантирует безопасности. В-третьих, см. PHP FAQ: \"Кавычки \". Cоставление запросов mysql, слеши, экранирование кавычек.
3) Смотря для чего.

 

[Kirill]

Автор оригинала: SelenIT
1) К безопасности входящих данных htmlspechialchars никакого отношения не имеет.

Да ладно? А прикинь у тебя будет например гостевуха и тебе туда java скрипт вкатают.

 

[Фанат]

Kirill, ты читать по-русски умеешь?
тебе жирным шрифтом ключевое слово выделили.
"яваскрипт в гостевой" страшен при ВЫВОДЕ.
а при вводе он совершенно безобиден.

начинает доходить?

 

[Ilya]

Фанат
понятно что "яваскрипт в гостевой" страшен при выводе.
а почему бы не отсекать все нежелательные элементы при вводе?

 

[Фанат]

потому, что существует такое понятие, как целостность данных.
Наши системы построены на многообразии отображения одних и тех же данных.
на одном выводе в хтмл свет клином не сошелся.
есть отправка по мейлу, есть версия для печати, есть админы, которые могут писать хтмл.
и под каждый из вариантов пишется свой вывод.

потому, что любое действие надо делать тогда, когда оно нужно.
Ты же не одеваешь лыжные ботинки летом, мотивируя это тем, что зимой холодно?
Ну а с какой стати надо как-то преобразовывать данные не тогда, когда это надо, а тогда, когда они ничем никому не мешают?

 

[Ilya]

ок. understand.
но все же зависит от задачи

 

[Фанат]

от задачи зависит ВСЁ.
На ЛЮБОЕ решение на жэтом форуме можно найти задачу, для которой это решение неприменимо.
Однако из-за того, что всякий раз находится умник, офигевающий от желания всем рассказать об известном ему исключении, никак не следует то, что стандарты не имеют смысла.
Напротив.
Надо сначала научиться писать ПРАВИЛЬНО, а потом уже изобретать случаи, когда стандарт не подходит.

Надо четко понимать, что на этом форуме в основном тусуются люди, которые не понимают даже как хелло ворлд написать.
И объяснять им надо, как правильно писать рпограммы, а не как делать исключения.
андестенд?

 

[Ilya]

фирштейн

 

[Лексеич]

Автор оригинала: Фанат
которые не понимают даже как хелло ворлд написать.

ох уж этот Hello world.