POUZE NYNÍ: Získej až 80 % extra kreditů ZDARMA na náš interaktivní e-learning. Zjistit více.
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Diskuze – Lekce 9 - Zabezpečení šablon

Zpět

Upozorňujeme, že diskuze pod našimi online kurzy jsou nemoderované a primárně slouží k získávání zpětné vazby pro budoucí vylepšení kurzů. Pro studenty našich rekvalifikačních kurzů nabízíme možnost přímého kontaktu s lektory a studijním referentem pro osobní konzultace a podporu v rámci jejich studia. Toto je exkluzivní služba, která zajišťuje kvalitní a cílenou pomoc v případě jakýchkoli dotazů nebo projektů.

Komentáře
Nejnovější komentáře jsou na konci poslední stránky.
Avatar
Neaktivní uživatel
Člen
Avatar
Neaktivní uživatel:31.5.2014 22:05

No jo, ale pokud by zloděj nevložil formulář do názvu článku, ale do obsahu, mělo by to stejný účinek. Tak k čemu to ošetřování je?

Odpovědět
Neaktivní uživatelský účet
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na Neaktivní uživatel
David Hartinger:31.5.2014 22:29

K obsahu má přístup admin, zde se to hodí jen k tomu, abys mohl do titulku psát HTML tagy. Smysl to má hlavně u webu, kde se registrují uživatelé a zadávají své jméno nebo něco komentují. Když XSS neošetříš, snadno ti vyřadí web z provozu nebo tvým uživatelům ukradnou data.

Odpovědět
New kid back on the block with a R.I.P
Avatar
prochy132
Člen
Avatar
prochy132:19.6.2014 1:00

A jak bych udělal, aby se mi v seznamu článku zobrazoval i naformátovaný obsah? (příklad když to nebudou články ale výrobky)
<?= $clanek['obsah'] ?> to sice zobrazí obsah ale tagy bere jako text

Avatar
mkub
Tvůrce
Avatar
Odpovídá na David Hartinger
mkub:19.6.2014 11:19

"v databázi je vždy původní text, tedy přesně to, co zadal uživatel. Upravujeme až pro výstup. Do databáze patří vždy co nejvíce surová data" tiez je totalna hlupost, lebo takto sa do aplikacii zavedie ina velmi neprijemna a nebezpecna diera, ktoru je mozne zneuzit pomocou SQL injection...
cize treba osetrovat nielen vystup na stranku, ale aj vstup do databaze a vsade tam, kde sa pracuje s uzivatelskymi a externymi udajmi

Avatar
svanda777
Tvůrce
Avatar
svanda777:30.6.2014 11:22

Jak mám ošetřovat když používám cyklus foreach?

foreach ($prispevky as $prispevek) : ?>

Některá pole potřebuji ošetřit a některé ne, ale cyklus to neumožňuje.

Editováno
Avatar
MLN
Člen
Avatar
Odpovídá na David Hartinger
MLN:10.8.2014 21:45

mimo temu---
nadalo by sa platit za tie zvysne clanky SMS ?? velmi by som chcel tento super tutorial dokoncit ale nemam bankovy ucet .... :)

Avatar
amdecko
Člen
Avatar
Odpovídá na mkub
amdecko:2.9.2014 22:52

Mám zato, že zneužití pomocí SQL injection jsme zabránili tím, že používáme preparet statements.

Avatar
mkub
Tvůrce
Avatar
Odpovídá na amdecko
mkub:3.9.2014 11:08

pomocou PDO a preparet statements sa da zabranit SQL injection, ale nie kazdy vyvija objektovo a PDO vyzaduje objektovy pristup

Editováno
Avatar
Honza Bittner
Tvůrce
Avatar
Odpovídá na svanda777
Honza Bittner:28.12.2014 13:12

Trochu pozdě, ale přece:

Tam kde chceš dodatečně ošetřit proměnné bych asi volil něco jako

<?= $this->osetri($prispevek['whatever']); >
Odpovědět
FIT ČVUT alumnus :-) Sleduj mě na https://twitter.com/tenhobi a ptej se na cokoli na https://github.com/tenhobi/ama.
Avatar
tomaskolarcik
Člen
Avatar
tomaskolarcik:25.8.2015 13:02

Ahoj muže mi prosím někdo vysvětlit co to dělá foreach($x as $k => $v) .
A dala by se napsat ta část ošetření pole proti XSS takto

elseif(is_array($x)){
            for($i=0;$i<count($x);$i++){
                $x[$i]=$this->osetri($x[$i]);
            }
            return $x;

Diký předem

Nejnovější komentáře jsou na konci poslední stránky.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 27.