Harald B Skrevet 15. august 2008 Del Skrevet 15. august 2008 uansett.. kan jeg bruke stripcslashes da? i tilegg til stripslashes? sikkert lurt og bruke strip_tags også Du skal ikke bare slenge opp alle funksjonene du har hørt blitt nevnt i forbindelse med escaping av brukerdata uten at du vet hva de gjør. Det blir helt feil og kan i mange tilfeller gjøre ting verre. Det er viktig å ha en forståelse av hva funksjonen gjør og hvorfor du skal bruke den. I tilfellet med includes er det veldig lett å trå feil, derfor er det bedre å være litt streng med hva du tillater av brukerdata. Du kan foreksempel ha filene som skal inkluderes i en mappe uten noen andre filer. Vær streng med navngivingen av disse filene og kun bruk bokstavene a-z som navn. Dette gir en noe strengere navngiving enn filsystemet tillater, men lar deg lett filtrere uønsket data. Filtreringen kan gjøres slik: <?php if ( !preg_match("/^[a-z]+\z/i",$_GET['id']) ) { die('nice try'); } include "id/{$_GET['id']}.php"; ?> Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå