![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
И не надейтесь, что если вы используете умную базу данных с правильными констрейнтами и значения туда передаёте только при помощи байндинга, то вам больше нечего бояться.
Фигвам. Injection может быть вовсе не только в SQL. Прямое использование данных, полученных от пользователя, при формировании команд для операционной системы, имён файлов и даже при генерации HTML-кода обратно тому же пользователю, является потенциально опасным.
Вот тут есть любопытная заметка на сходную тему.
И дело даже не в том, что писатели из Майкрософтав очередной раз выпендрились и за каким-то х непонятно зачем приделали возможность неявного запуска джаваскрипта посредством свойства behavior в css.
А в том, что вот так делать НЕЛЬЗЯ:
<?php
echo "<link rel=\"stylesheet\" type=\"text/css\" href=\"" . $_GET["theme"] . "/style.css\">\n";
?>
Фигвам. Injection может быть вовсе не только в SQL. Прямое использование данных, полученных от пользователя, при формировании команд для операционной системы, имён файлов и даже при генерации HTML-кода обратно тому же пользователю, является потенциально опасным.
Вот тут есть любопытная заметка на сходную тему.
И дело даже не в том, что писатели из Майкрософта
А в том, что вот так делать НЕЛЬЗЯ:
<?php
echo "<link rel=\"stylesheet\" type=\"text/css\" href=\"" . $_GET["theme"] . "/style.css\">\n";
?>
Tags:
no subject
no subject