ציטוט:
נכתב במקור על ידי MasterT
אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.
אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.
וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.
חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?
|
אני אתחיל מזה שאין מצב שאני קורא למשתנה לא מאובטח.
עם המחלקת FETCH שהכנתי, אני פשוט יודע אם אני צריך להשתמש בSECURE (פונקצית מחלקה) או לא. זה לא מסבך כ"כ: או secure($val) או the($val).
עכשיו, שכחתי לציין משהו.
אתה באמת חושב שמתפקידי לסנן JS מאתר מסויים?
אתה באמת חושב שזו תהיה בקשה הגיונית מלקוח לא לתת לאנשים להכניס JS או CSS לקוד?
ומה אם הם ישימו IFRAME או סתם ימתחו את העמוד יותר מדי? את כל זה תסנן?
צריך שיהיה להם איך להכניס HTML. עכשיו אם מה שיעשה את בעל האתר רגוע זה סינון SCRIPT, אני אסנן. אבל זאת ממש לא הגנה, ואני לא רואה בעיה בלסמוך על אנשים.