- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Опишите, пожалуйста, способ каким образом можно получить доступ к помощью пхп- или хтмл-тегов, которые будут в тексте, сохраняемом в базе?
Вот это номер.. Понятия "XSS", "SQL-инекции" и тд ничего не говорят?
А что, нельзя перед записью прогнать в PHP через strip_tags и htmlspecialchars, например?
Даже если оно потом в базу попадет, это же будет текст. А не код.
как эти две функции избавят от внедрения '%20--%20UNION 1,2,3... ?
Опишите, пожалуйста, способ каким образом можно получить доступ к помощью пхп- или хтмл-тегов, которые будут в тексте, сохраняемом в базе?
В базе может сохраняться результат вложенного запроса SELECT. Который можно будет прочитать в том месте, где этот текст выводится.
Теоретически Mysql поддерживает работу c json. Если говорить о других базах, то Mongodb через json и работает, там все запросы на основе массивов идут.
Но это теоретизирование :)
И ээ... вы предлагаете пихать в него непонятно откуда пришедший json :) ?
Вот это номер.. Понятия "XSS", "SQL-инекции" и тд ничего не говорят?
А вам?
Какое отношение имеет XSS к записи в базу, о которой мы говорим? Защита от SQL-инъекции имеют отношение к pdo-функциям или к более древнему подходу в виде mysqli_real_escape_string(). Но никак не к strip_tags.
Всё остальное - это магические пасы.
В базе может сохраняться результат вложенного запроса SELECT. Который можно будет прочитать в том месте, где этот текст выводится.
Здесь речь о вводе данных в базу. Очистка вывода или экранирование - это отдельная тема.
Но если честно я не совсем понял от относительно "результат вложенного запроса SELECT" - можете пример привести.
И ээ... вы предлагаете пихать в него непонятно откуда пришедший json ?
Нет, конечно. Я ж о теоретизировании :)
Какое отношение имеет XSS к записи в базу, о которой мы говорим?
Самое прямое.
SeVlad, объясните.
объясните.
Провести курс про XSS и др методах взлома в двух предложениях? Нет, я на такое не способен.
Но всё есть в интернете.
Но вот такие бывают случаи (если это о чем-то скажет) /ru/forum/1022959
И такие /ru/forum/1025203 (дофантазировать получится?)
ТС, тебе тут сейчас насоветуют и нарасскажут про иньекции))) Вообще 3 минуты гугления бы дали более правильный ответ, на раз уж....
- Писать json базу - абсолютно нормальная практика, как уже сказали, та же монга вся на них построена, в Постгресс давно заведен тип поля json. Приведенные размеры - вообще семечки для мускли она и не на такое рассчитана.
Нормально практикой считается писать в базу сырой код, проверка делается на вывод и исполнение инфы. Малол ли тебе нужно скрипт сохранить, хоть это и не гуд
потерто - спор не имеет смысла
---------- Добавлено 10.12.2019 в 19:20 ----------
ТС, тебе тут сейчас насоветуют и нарасскажут про иньекции)))
Вот я тут написал сначала в споре с SeVlad, а потом потёр, ибо сам спор начинает сводится к непонятно чему и в итоге само существование этого спора вводит ТСа в заблуждение. :)