Gjest Slettet+9871234 Skrevet 16. februar 2012 Del Skrevet 16. februar 2012 (endret) Problemet er når du henter det ut av databasen å kjører det i en funksjon som eval(). Da bør du ha 100% stålkontroll på hva som kjøres i den funksjonen. Ja. Jeg har ingen problemer med cURL, men da henter du innholdet fra en ekstern side inn i din side.. da bør du være sikker på at det ikke er noe XSS på gang å kjøre htmlspecialchars() på all output. Ja, men jeg mener å huske at der med de siste versjonene av php er alternative (bedre??) måter å gjøre dette på. eval() er ikke problemet. Problemet vil da være at SQL-kallingene kan være dårlig sikret. Jeg for min del er veldig streng på sikkerheten, og dette uten unntak når jeg utvikler sider som tar i bruk eval(). Det skal kjeldent være et problem om du bare tenker sikkerhet først. Det var derfor jeg skrev om "prepared statements". Og en profesjonell hoster tillater heller ikke hva som helst. Ikke irriter deg over at noe ikke funker hos en hoster. Det har ofte med sikkerhet å gjøre og er dermed en fordel. Være uhyre varsom med å fikle med default instillinger i .htaccess, php.ini og lignende konfigureringsfiler. Spør hoster før du endrer kritiske konfigureringer i php.ini. Endret 16. februar 2012 av Slettet+9871234 Lenke til kommentar
xibriz Skrevet 17. februar 2012 Del Skrevet 17. februar 2012 Jeg har ingen problemer med cURL, men da henter du innholdet fra en ekstern side inn i din side.. da bør du være sikker på at det ikke er noe XSS på gang å kjøre htmlspecialchars() på all output. Ja, men jeg mener å huske at der med de siste versjonene av php er alternative (bedre??) måter å gjøre dette på. Ikke som jeg vet om, htmlspecialchars() er heller ikke deprecated (som alle utdaterte PHP-funksjoner blir når det finnes en bedre erstatter). Men du har htmlentities() som er hakket mer avansert, men fortsatt helt lik. Lenke til kommentar
Gjest Slettet+9871234 Skrevet 19. februar 2012 Del Skrevet 19. februar 2012 Ikke som jeg vet om, htmlspecialchars() er heller ikke deprecated (som alle utdaterte PHP-funksjoner blir når det finnes en bedre erstatter). OK, da får jeg godta det du skriver. Ofte blander man sammen ting og husker feil. Jeg vet ikke om det var noe jeg leste i de tre siste php bøkene jeg leste i, Professional PHP 6 http://www.wrox.com/WileyCDA/WroxTitle/Professional-PHP6.productCd-0470395095.html PHP 5 E-commerce Development http://www.packtpub.com/php-5-e-commerce-development/book PHP 5 Objects, Patterns, and Practice http://www.amazon.com/PHP-5-Objects-Patterns-Practice/dp/1590593804 Det er ikke alltid lett å huske hva man leser når man er fagidiot og bokorm. Jeg minnes at der er andre måter å gjøre det på, men det kan for eksmepel være i et bibliotek som bruker de funksjonene du viser til. Jeg kjenner dem og ville brukt dem selv. Man kan vel få full kontroll ved å bruke regular expressions http://www.php.net/manual/en/ref.pcre.php, men det blir fort for komplisert og enda vanskeligere å huske om man ikke bruker dem daglig. Se også: http://www.sitepoint.com/regular-expressions-php/ http://www.regular-expressions.info/php.html Lenke til kommentar
vevo1992 Skrevet 20. februar 2012 Forfatter Del Skrevet 20. februar 2012 Takk for alle svar! Det løste seg Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå