mod_rewrite Уровень доверия к данным прошедшим проверку на допустимые символы

[Develar]

mod_rewrite Уровень доверия к данным прошедшим проверку на допустимые символы

Можно ли доверять данным после обработки запроса модулем mod_rewrite на Apache 1.3 и насколько? (при условии что php или Apache не "подправлен" и root доступа к серверу у злоумышленника нет)

series-([a-z0-9-]+)

Могу ли я использовать в программе значение $_GET['series'] не делая дополнительной проверки?

Поиск дал ссылку на http://phpclub.ru/talk/showthread.php?s=&threadid=62376 но там ничего вразумительного нет.
Если судить по мануалам - то можно доверять, а что скажут умудренные не только мануалом?

 

[white phoenix]

По идее да, но я бы всё равно делал проверку на уровне PHP.

 

[Develar]

Да, судя по идее, изложенной http://www.egoroff.spb.ru/portfolio/apache/mod_rewrite.html вклиниться и подменить невозможно

инициирует новый внутренний подзапрос с этим новым URL. Это перезапускает процесс обработки фаз API.

Спасибо.

 

[Алексей Пешков]

Доверять или не доверять можно вашему коду, PHP это или mod_rewrite не имеет значения.

 

[Develar]

Алексей Пешков
Вы сказали как клиент, а мой вопрос на уровне кода, откуда то пришел ко мне запрос на отображение оборудования серии Art Cool и неизвестно, то ли мой код сгенерировал данный URL, то ли хакер его ручками ввел. (в данном случае надо применять однозначно массив допустимых значений и проверять на идентичность, а не допустимость тех или иных символов - но тема - доверие данным прошедшим проверку mod_rewrite).