[php] חסימת הזרקות של get

[hi_sorie]

ציטוט:

נכתב במקור על ידי DanielS

לדעתי טעות גדולה של הרבה מתכנתים היא שהם מאפשרים הכל וחוסמים חלק.
צריך לעשות בידיוק ההפך.
לחסום הכל ולאפשר מה שאתה צריך.

כי אחרת אתה שוכח כל מיני דברים לחסום לכן עדיף לחסום הכל ולאפשר מה שאתה צריך.

תחשוב על זה ככה :
מה היית מעדיף ?
לנעול דלת אחת ולשכוח לנעול אחרת ולהשאיר חלון גדול פתוח.או לנעול את כל הדלתות ולפתוח רק את זה שאתה יוצא ממנה .

לא קשור ...
במערכת דינאמית אתה לא יכול לשלוט על הערכים של GET בגלל זה טוב יותר להשתמש ב POST ...
ב POST סיננתי 19 אלף האקרים נובים.
אבל מה שאתה אומר זה לחסום את כל ה GET ולהשתמש רק במה שאתה צריך ...
ואם תוך כדי השימוש במערכת הוא שולח נתונים ב GET כמו כתובת או בא לו להגיד delete ? אז מה ? לא לאפשר...

מה שכן ... צריך להריץ את כל הערכים שקיבלת כך :

PHP קוד:

     foreach ($_GET as $value) 


ולחסום

PHP קוד:

    $value = htmlspecialchars($value, ENT_QUOTES)
    $value = urlencode($value)