komentēšanas formas

[osk]

Sveiki!

Ko varat pateikt no savas pieredzes, kādai būtu jābūt formas aizsardzībai? Datus glabāju mysql. Es pats domāju pielietot:

htmlspecialchars

addslashes (varbūt nevajag?)

un pirms ierakstīšanas db, pārbaudu vai tāds ieraksts jau nav (lai F5 nevarētu sapostēt vienādas...)

Vai kaut ko vajadzētu savādāk, labāk? Varbūt kūkas?

[cucumber]

Isteniba ir uzdoti divi dazadi jautajumi, viens par pasu datu glabashanu otrs par datu ievadishanu.

Pirmais izmanto pirms ieraksti mysql'a mysql_escape_string.

Otrs ja ir GD, lai pie katras jaunas foruma ievadishanas vada kaut kadu id ko velak salidzini.

 

 

 

ps. Aprunats forumma simtam reizu, pamekle

[larvae]

Minimālā aizsardzība ir mysql_real_escape_string.

Pret F5 palīdz header ("Location /?ieraksts=jaunais_id") uzreiz peec insert.

Pats galvenais - eskeipo datus TIKAI pirms tie 'nomaina vidi', ja negribi escape hell un gribi datus tādus, kādus tos ievadīja lietotājs.

Edited March 13, 2007 by larvae

[osk]

Varbūt neprecīzi noformulēju - kā būtu jāveido komentāru ieglabāšana un izsaukšana no db, raugoties tieši no drošības viedokļa.

p.s. Pameklēšu vērīgāk forumā.

[osk]

par "Pret F5 palīdz header ("Location /?ieraksts=jaunais_id") īsti nesapratu, ko tas dod? Ka neieraksta formu? Bet ja ir autoincrement?

[andrisp]

Nu tas dod to, ka pēc ierakstīšanas, ja pāradresējam uz citu lapu (kaut vai to pašu), tad pazūd POST dati un F5 vairs neko nedos.

[v3rb0]

vēl pret f5 līdz formas submitēšanu taisīt ajaxīgi - ar f5 pārlādēs visu lapu, bet tas nelīdzēs pret varmācīgu mēģinājumu iebakstīt vienu postu 3x pēc kārtas, servera pusē pārbaude vienalga vienmēr ir ļoti rekomendēta.

 

par pārējām metodēm pameklē tepat forumā, tēma aprunāta vismaz reizi pusgadā.