Дмитрий Сергеевич (axshavan) wrote,
Дмитрий Сергеевич
axshavan

Про информационную безопасность

Никогда не стоит пренебрегать возможностью на разрабатываемом вами сайте впихнуть HTML-разметку или скрипты во все щели, куда только можно. Манкирование информационной безопасностью порой обходится очень дорого. Я готов пиздить по рукам своих коллег, если они выводят необработанные данные в шаблоне или засовывают необработанный ввод в БД - это же ну просто базовые вещи, про которые ни в коем случае не следует забывать. Ну, сейчас-то те из них, кто остался, всё проверяют, валидируют и не забывают про addslashes() и htmlspecialchars().

25.25 КБ

Некоторое время тому назад я думал, что битриксовая функция htmlspecialcharsEx() - это обычная htmlspecialchars(), только расширенная какими-нибудь наворотами, потому что думал, что Ex - это сокращение от "extended". Потом мне стало интересно, какими именно наворотами она расширена, и я заглянул в её исходный код... ребята, не используйте htmlspecialcharsEx() вместо htmlspecialchars(), а лучше, наверное, и не используйте её вообще.

Оригинал записи http://blog.axshavan.ru/2012/03/information-security.html
Tags: web
Subscribe

  • Плёнка №199

    Всякая нудная техническая информация - что это за плёнка, чего фотографии такие контрастные, и так далее - расположена после снимка номер шесть. 1…

  • Фотографии из мини-походика 18 июля

    На прошлой неделе мы со Славкой прошли пешком чуть больше 19 километров по южным предместьям Праги. Я выбрал маршрут таким образом, чтоб там были и…

  • Инопланетный чертополох

    Пару дней назад ходили вечером гулять по окрестностям. Я повстречал возле пруда Асуан заросли какой-то инопланетной херни. Это такие шипастые шары…

  • Post a new comment

    Error

    Comments allowed for friends only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments