Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 14.12.2010, 10:00
Аватар для HelpeR
Профессор
Отправить личное сообщение для HelpeR Посмотреть профиль Найти все сообщения от HelpeR
 
Регистрация: 21.10.2008
Сообщений: 241

вопрос безопасности
Здравствуйте!
Делаю добавление комментарий как тут. Т.е. комментарий добавляется с помощью ajax и POST и в нем могут присутствовать html js php css коды.
Вопрос безопасности!
при добавлении текста в базу я его провожу через htmlspecialchars и загоняю с mysql_real_escape_string. Как вы думаете достаточно ли этого для того, что быть уверенным, что текст коммента не смогут использовать в целях взлома?
Ответить с цитированием
  #2 (permalink)  
Старый 14.12.2010, 10:29
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Сообщение от HelpeR
Вопрос безопасности!
А чем, с точки зрения безопасности, добавление комментария ajax-ом отличается от отправки обычной формы?
Ответить с цитированием
  #3 (permalink)  
Старый 14.12.2010, 10:32
Аватар для HelpeR
Профессор
Отправить личное сообщение для HelpeR Посмотреть профиль Найти все сообщения от HelpeR
 
Регистрация: 21.10.2008
Сообщений: 241

Сообщение от Kolyaj Посмотреть сообщение
А чем, с точки зрения безопасности, добавление комментария ajax-ом отличается от отправки обычной формы?
Это не имеет значения. Для более подробной информации я подчеркнул, что коммент добавляется ajax. А главный вопрос состоит в том, что достаточно ли использовать htmlspecialchars и mysql_real_escape_string для добавления текста комментария в базу?
Ответить с цитированием
  #4 (permalink)  
Старый 14.12.2010, 10:41
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Тут два момента.

Первый: сохранение комментария. Если комментарии хранятся в реляционной базе, то надо защититься от SQL-инъекции. Для этого нужен mysql_real_escape_string, а лучше механизм placeholder-ов. htmlspecialchars на этом этапе не нужен, иначе будет уже не тот коммент, который добавлялся. Если комментарии хранятся в файлах, то там уже возможно заморочки с разделителями записей могут быть. Если в какой-нибудь объектно-ориентированной базе, вроде mongodb, то проблем вообще никаких нет. Комментарий сохраняется как есть.

Второй момент: вывод комментария на страницу. Т.к. комментарий выводится в HTML, то все символы, специфичные для HTML нужно экранировать. Вот на этом этапе нужен htmlspecialchars.
Если бы комментарий выводился в другом формате, json например, то htmlspecialchars, вобщем-то, не нужен.

Вобщем главное понять, для чего делается то или иное действие.
Ответить с цитированием
  #5 (permalink)  
Старый 14.12.2010, 10:51
Аватар для HelpeR
Профессор
Отправить личное сообщение для HelpeR Посмотреть профиль Найти все сообщения от HelpeR
 
Регистрация: 21.10.2008
Сообщений: 241

Данные хранятся в реляционной базе! Если я понял mysql_real_escape_string спасает от SQL injections?
Не подскажите, что за механизм placehoder?
Ответить с цитированием
  #6 (permalink)  
Старый 14.12.2010, 11:03
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

http://www.google.com/search?q=PDO+p...ient=firefo x
Ответить с цитированием
  #7 (permalink)  
Старый 14.12.2010, 11:43
Аватар для HelpeR
Профессор
Отправить личное сообщение для HelpeR Посмотреть профиль Найти все сообщения от HelpeR
 
Регистрация: 21.10.2008
Сообщений: 241

спасибо понял!
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вопрос по учебнику Invis1ble Сайт Javascript.ru 12 21.03.2011 20:06
Вопрос безопасности HelpeR AJAX и COMET 10 11.04.2010 14:08
Вопрос о циклических ссылках (JavaScript -> Dom -> JavaScipt) BlueIce Events/DOM/Window 10 17.02.2010 21:58
вопрос по long poll megaswin AJAX и COMET 2 27.05.2008 09:20
изъян в системе безопасности ingvar Ваши сайты и скрипты 1 28.04.2008 16:08