Avatar
Daniel Vítek
Tým ITnetwork
Avatar
Daniel Vítek:

Jelikož mi sczdavos bloknul komentování,vyt­vořil jem nové vlákno !
Reakce na KITA

Už jsme tady probrali několikrát, jak je nutné použití funkce htmlspecialchars() při generování HTML z textu od uživatele a přesto to ignoruješ.

Ta kritika byla konstruktivní. Představ si, že by někdo jako název souboru dal "cervik.php" a jako text vtipu dal exploit. A máš nechtěného admina.

Však nemusíš použít SQL databázi.

Aspoň si ošetři ta vstupní pole. Je úplně zbytečné do "kategorie" dávat cestu k souboru, tu si přece doplníš v aplikaci po provedení basename() a příponu také.

Ten soubor se ti neotevřel, protože tu cestu máš chybně.

A chybí ti header('Location: ...') na konci skriptu pridej.php. Ale to už jsme také probírali.

  1. htmlspecialchars jsem tam právě připisoval
  2. Umíš číst ?? je tam select !

3.Jakýho admina zas ?!?
4. Jak chybně ?

 
Odpovědět 3.7.2012 21:27
Avatar
Kit
Redaktor
Avatar
Odpovídá na Daniel Vítek
Kit:
  1. nikde jsem ho neviděl
  2. select není překážkou
  3. vleze ti tam kdo bude chtít
  4. při práci se soubory se používají jiné cesty
  5. pokud scdavos zablokoval komentování, asi k tomu měl důvod
Nahoru Odpovědět 3.7.2012 21:37
Vlastnosti objektů by neměly být veřejné. A to ani prostřednictvím getterů/setterů.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.