суббота, 31 марта 2012 г.

Про информационную безопасность

Никогда не стоит пренебрегать возможностью на разрабатываемом вами сайте впихнуть HTML-разметку или скрипты во все щели, куда только можно. Манкирование информационной безопасностью порой обходится очень дорого. Я готов пиздить по рукам своих коллег, если они выводят необработанные данные в шаблоне или засовывают необработанный ввод в БД - это же ну просто базовые вещи, про которые ни в коем случае не следует забывать. Ну, сейчас-то те из них, кто остался, всё проверяют, валидируют и не забывают про addslashes() и htmlspecialchars().

25.25 КБ

Некоторое время тому назад я думал, что битриксовая функция htmlspecialcharsEx() - это обычная htmlspecialchars(), только расширенная какими-нибудь наворотами, потому что думал, что Ex - это сокращение от "extended". Потом мне стало интересно, какими именно наворотами она расширена, и я заглянул в её исходный код... ребята, не используйте htmlspecialcharsEx() вместо htmlspecialchars(), а лучше, наверное, и не используйте её вообще.

Комментариев нет:

Отправить комментарий

Ублюдочный Гугл поломал форму комментариев. Извините.