eshpilen
جمعه 02 اردیبهشت 1390, 21:15 عصر
میگم اگر از متدهای Escape در همه جا استفاده کنیم، مثلا از mysql_real_escape_string موقع درج در دیتابیس، و از تابع htmlspecialchars موقع درج در متن صفحه، آیا بازم خطری هست؟ آیا کاراکترهای خاصی بازهم خطرناک هستن و باید کلا حذف بشن؟
مثلا وقتی کاربر کامنت میده، یا موقع انتخاب نام کاربری، آیا ضرورت داره کاراکترهای خاصی رو غیرمجاز بدونیم و حذف کنیم؟ مثلا کاراکتر نال (0x00) و امثالهم اگر هست.
موقع درج در دیتابیس که ضرری نمیزنن. ولی موقع ارسال به مرورگر حتی باوجود Escape کردن صحیح میتونن خطرناک باشن و چرا؟
پ.ن:
بعضیا میگن من خیلی ادعام میشه.
اما اگر اینطور بود که اینطور تاپیک نمیزدم و اینطور سوالات رو به اینصورت مطرح نمیکردم.
من فقط صریح هستم و یه محقق. و هیچ چیزی رو بدون دلیل و سند کافی قبول نمیکنم یا اینطور بگم که از گیر دادن بهش نمیگذرم تا واقعا بفهمم و مطمئن بشم. باید علت رو فهمید و مکانیزم رو درک کرد.
ضمنا بارها مواردی رو دیدم که ادعاها و روشهای اشتباه مطرح شدن. اگر انسان به این چیزها گیر نده و دنبال سند و دلیل نباشه، هیچوقت متوجه نقض و ضعف و اشتباه اونا نمیشه.
یادمون نره ندانستن عیب نیست. نپرسیدن عیبه. گیر دادن عیب نیست. گیر ندادن عیبه :لبخند:
صریح بودن و سمج بودن در مسائل تخصصی و علمی اونم در یه محیط مجازی چه اشکالی داره؟
سعی کنیم نازک نارنجی نباشیم و از دیگران انتظارات بیجا نداشته باشیم.
من تو یه چیزایی اطلاعات و احاطه دارم، خب دارم، تو یه چیزایی ندارم، خب میگم بلد نیستم و میام میپرسم و همفکری میکنم. از هیچکس ناراحت نمیشم بگه من بی سواد هستم. برام مهم نیست. تنها چیزی که ناراحتم میکنه اینه که راهم برای پیشرفت و قوی تر شدن بسته بشه (واسه همین وقتی فرومهایی رو که توش میتونم آزادانه با دیگران ارتباط برقرار کنم فیلتر میکنن خیلی ناراحت میشم!!).
مثلا وقتی کاربر کامنت میده، یا موقع انتخاب نام کاربری، آیا ضرورت داره کاراکترهای خاصی رو غیرمجاز بدونیم و حذف کنیم؟ مثلا کاراکتر نال (0x00) و امثالهم اگر هست.
موقع درج در دیتابیس که ضرری نمیزنن. ولی موقع ارسال به مرورگر حتی باوجود Escape کردن صحیح میتونن خطرناک باشن و چرا؟
پ.ن:
بعضیا میگن من خیلی ادعام میشه.
اما اگر اینطور بود که اینطور تاپیک نمیزدم و اینطور سوالات رو به اینصورت مطرح نمیکردم.
من فقط صریح هستم و یه محقق. و هیچ چیزی رو بدون دلیل و سند کافی قبول نمیکنم یا اینطور بگم که از گیر دادن بهش نمیگذرم تا واقعا بفهمم و مطمئن بشم. باید علت رو فهمید و مکانیزم رو درک کرد.
ضمنا بارها مواردی رو دیدم که ادعاها و روشهای اشتباه مطرح شدن. اگر انسان به این چیزها گیر نده و دنبال سند و دلیل نباشه، هیچوقت متوجه نقض و ضعف و اشتباه اونا نمیشه.
یادمون نره ندانستن عیب نیست. نپرسیدن عیبه. گیر دادن عیب نیست. گیر ندادن عیبه :لبخند:
صریح بودن و سمج بودن در مسائل تخصصی و علمی اونم در یه محیط مجازی چه اشکالی داره؟
سعی کنیم نازک نارنجی نباشیم و از دیگران انتظارات بیجا نداشته باشیم.
من تو یه چیزایی اطلاعات و احاطه دارم، خب دارم، تو یه چیزایی ندارم، خب میگم بلد نیستم و میام میپرسم و همفکری میکنم. از هیچکس ناراحت نمیشم بگه من بی سواد هستم. برام مهم نیست. تنها چیزی که ناراحتم میکنه اینه که راهم برای پیشرفت و قوی تر شدن بسته بشه (واسه همین وقتی فرومهایی رو که توش میتونم آزادانه با دیگران ارتباط برقرار کنم فیلتر میکنن خیلی ناراحت میشم!!).