каких очевидных ошибок скриптования необходимо избегать?

Александр Петросян (PAF) 03.06.2002 13:40

неявный untaint помогает жить... но думать не отменяет:

0.
имя файла слишком важный вопрос, чтобы доверять посетителю сайта.
НИКОГДА не делайте так:

^file::load[text;$cookie:look-n-feel]

чтобы не получить в cookie

/../../../../etc/passwd

1.
если в базу пишется число, НЕ забывайте делать...

    ^form:field.int[]

...чтобы не получилось:

    ?id=1 or 1
    delete from table where id=$form:id
    =delete from table where id=1 or 1
    =delete from table
    =смерть данных этой table

2.
НИКОГДА данные из ненадёжного источника не должны подставляться в запрос
просто-так, чтобы не получилось:

    ?what=users%00
    #а задумывалось{скверно}, скажем, "orders" или "sessions"
    delete from $form:what where ....
    =delete from users
    =смерти данных таблицы users

---