Уважаемый Зингельшухер,
может быть я и слегка чересчур резко выразился, но ведь именно Вы начали неконкретные наезды, и мне пришлось дать отпор :p
Что касается спорного вопроса о фильтрации ВСЕХ данных - конечно, данная схема несколько утрирована. Может, вы захотите постить у себя на форуме листинги кодов - в таком случае, конечно, фильтровать на входе все тэги и операторы было бы бессмыслицей. Но это - частный случай, и к нему подход нужен особый. В общем же случае, например если у вас на сайте нет форума, или есть форум - но не для программеров, а для микробиологов, то фильтрация всех входящих тэгов и спецсимволов нисколько не помешает, а наоборот, защитит сайт от вероятного злонамеренного кода.
Зингельшухер,
давайте по существу и конструктивно, либо идите кидать понты в другое место 🙅
Существуют, существуют :)
Поэтому я и рекомендую все входящие данные проверять (фильтровать, преобразовывать, ...) полным комплексом, с помощью тех же mysql_real_escape_string и других функций, в том числе осуществлять проверку на допустимый чарсет, длину строки и диапазон значений
"Хороший тон", "дурной тон" - факторы, высосанные из пальца. Можно руководствоваться ими на приеме у королевы Великобритании, но не при разработке системы безопасности :)
Фильтровать (проверять) все данные на входе необходимо, чтобы обеспечить защиту кода приложения.
В принципе, тут есть два варианта:
1) принимать входящие данные как есть, но при разработке кода приложения следить, чтобы в коде не осталось ни одной лазейки для запуска злонамеренного скрипта. Ни функций типа eval(), ни необъявленных явно переменных, etc. Уследить за всеми тонкостями исполнения кода - задача практически нереальная.
2) Проверять все данные на входе, при этом можно не беспокоиться о коде приложения - все данные, которые он будет обрабатывать, будут уже безопасны.
Спасибо за комментарии, однако кое-какие ключевые вопросы остались непонятны.
Во-первых, Опять же к вопросу о временных (хранящихся в оперативной памяти) и постоянных (хранящихся в файле) cookie. Спецификация IE, например, позволяет использовать и тот и другой тип cookie. Непонятно только, какой тип cookie использует ПХП - временные, постоянные, или оба? Это важно. Однако нигде не описано...
Сервер уровня 1U, Celeron 2.8GHz, 1Gb, 160Gb SATA HDD сможет потянуть? Или придется кластеры наворачивать? :)
100 запросов в течение 0,5 - 1 сек.
По вопросу БД - приходится плясать от того что есть, т.е. от мускула, не постгре не оракл не...
