Gå til innhold

[Løst] Hvordan bruke PHP Include fra MySql


Anbefalte innlegg

Gjest Slettet+9871234

Problemet er når du henter det ut av databasen å kjører det i en funksjon som eval(). Da bør du ha 100% stålkontroll på hva som kjøres i den funksjonen.

Ja.

 

Jeg har ingen problemer med cURL, men da henter du innholdet fra en ekstern side inn i din side.. da bør du være sikker på at det ikke er noe XSS på gang å kjøre htmlspecialchars() på all output.

Ja, men jeg mener å huske at der med de siste versjonene av php er alternative (bedre??) måter å gjøre dette på.

 

eval() er ikke problemet. Problemet vil da være at SQL-kallingene kan være dårlig sikret. Jeg for min del er veldig streng på sikkerheten, og dette uten unntak når jeg utvikler sider som tar i bruk eval(). Det skal kjeldent være et problem om du bare tenker sikkerhet først.

Det var derfor jeg skrev om "prepared statements". Og en profesjonell hoster tillater heller ikke hva som helst. Ikke irriter deg over at noe ikke funker hos en hoster. Det har ofte med sikkerhet å gjøre og er dermed en fordel. Være uhyre varsom med å fikle med default instillinger i .htaccess, php.ini og lignende konfigureringsfiler. Spør hoster før du endrer kritiske konfigureringer i php.ini.

Endret av Slettet+9871234
Lenke til kommentar
Videoannonse
Annonse

Jeg har ingen problemer med cURL, men da henter du innholdet fra en ekstern side inn i din side.. da bør du være sikker på at det ikke er noe XSS på gang å kjøre htmlspecialchars() på all output.

Ja, men jeg mener å huske at der med de siste versjonene av php er alternative (bedre??) måter å gjøre dette på.

 

Ikke som jeg vet om, htmlspecialchars() er heller ikke deprecated (som alle utdaterte PHP-funksjoner blir når det finnes en bedre erstatter).

 

Men du har htmlentities() som er hakket mer avansert, men fortsatt helt lik.

Lenke til kommentar
Gjest Slettet+9871234

Ikke som jeg vet om, htmlspecialchars() er heller ikke deprecated (som alle utdaterte PHP-funksjoner blir når det finnes en bedre erstatter).

OK, da får jeg godta det du skriver. Ofte blander man sammen ting og husker feil. Jeg vet ikke om det var noe jeg leste i de tre siste php bøkene jeg leste i,

 

Professional PHP 6 http://www.wrox.com/WileyCDA/WroxTitle/Professional-PHP6.productCd-0470395095.html

 

PHP 5 E-commerce Development http://www.packtpub.com/php-5-e-commerce-development/book

 

PHP 5 Objects, Patterns, and Practice http://www.amazon.com/PHP-5-Objects-Patterns-Practice/dp/1590593804

 

Det er ikke alltid lett å huske hva man leser når man er fagidiot og bokorm. Jeg minnes at der er andre måter å gjøre det på, men det kan for eksmepel være i et bibliotek som bruker de funksjonene du viser til. Jeg kjenner dem og ville brukt dem selv.

 

Man kan vel få full kontroll ved å bruke regular expressions http://www.php.net/manual/en/ref.pcre.php, men det blir fort for komplisert og enda vanskeligere å huske om man ikke bruker dem daglig.

 

Se også:

 

http://www.sitepoint.com/regular-expressions-php/

 

http://www.regular-expressions.info/php.html

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
×
×
  • Opprett ny...