и xss не будет работать? я просто фильтрую при вводе в бд. а не при выводе. т.к некоторый текст отображается не так, как надо
Админ: - Петь, зачем ты преобразуешь html строку перед сохранением в БД ?
Петя: - Чтобы защититься от XSS
Админ: - А когда нужно смайлы и ББ теги преобразовать, ты снова преобразуешь в html сущность ?
Петя: - Угу !
Админ: - А после снова преобразуешь, чтобы защититься от XSS ?
Петя: - ... Что ты от меня хочешь ? Хватит умничать !
Админ: - Петь, зачем ты преобразуешь html строку перед сохранением в БД ?
Админ: - Петь, зачем ты преобразуешь html строку перед сохранением в БД ?
Петя: - Чтобы защититься от XSS
Админ: - А когда нужно смайлы и ББ теги преобразовать, ты снова преобразуешь в html сущность ?
Петя: - Угу !
Админ: - А после снова преобразуешь, чтобы защититься от XSS ?
Петя: - ... Что ты от меня хочешь ? Хватит умничать !
Админ: - Петь, зачем ты преобразуешь html строку перед сохранением в БД ?
ну ты это, не совсем то написал. после фильтрации в бд, всё работает как надо. даже бб коды
не надо ничего фильтровать в БД, фильтровать нужно при выводе из БД в браузер
Уточню.
Для защиты от XSS. Если не используются ORM/OOП/фреймворк - то нужно от SQL тоже пастись.
А так же не забыть, что бывают и другие уязвимости.
А-ля CSRF, но там уже не фильтровать, а токены дописывать.
GooDLike (02.08.2021 в 20:25)
Первый проверяем есть ли переменная, если нет то она будет null.
Вторая удаляет пробелы в начале и конце строки и преобразует html символы в сущности.
Переменная ? Или ключ ?
Емпти проверяет на пустоту ишью проверяет на существование
Уточню.
Для защиты от XSS. Если не используются ORM/OOП/фреймворк - то нужно от SQL тоже пастись.
А так же не забыть, что бывают и другие уязвимости.
А-ля CSRF, но там уже не фильтровать, а токены дописывать.
достаточно использовать PDO, всё будет залетать как пришло, на выводе в браузер чистим html
Уточню.
Для защиты от XSS. Если не используются ORM/OOП/фреймворк - то нужно от SQL тоже пастись.
А так же не забыть, что бывают и другие уязвимости.
А-ля CSRF, но там уже не фильтровать, а токены дописывать.
Пздц вас опять понесло.
Автор вообще про другое спросил же
Пупсь+Вилка+бутылка = +100500 постов в теме и не одного по теме