Meddelande

Minska
No announcement yet.

prepared statments = ingen inputsanering

Minska
X
Minska
 
  • Page of 1
  • Filter
  • Klockan
  • Show
Clear All
new posts
Föregående template Nästa
  • #1

    prepared statments = ingen inputsanering

    Hej

    Enkel fråga som sammanfattas av rubriken.
    Om jag kör alla databasförfrågningar som sker från användarinput (fritextsök m.m) via prepared statments, behöver jag då sanera deras input på något sätt innan jag kör frågan?

    Jag tänker komplettera med en formulärvalidering som sker på klientsidan.
    Med vänlig hälsning

    Clownen
    Etiketter: Ingen
  • #2
    Nej, du bör fortfarande sanera input. Prepared statements gör bara en sanering för att se till att värdena är säkra för SQL - du kan fortfarande få otäck kod (t.ex. Javascript-kod som hijackar webbläsaren), så därför bör du sanera även för detta:

    http://www.phptherightway.com/#pdo_extension
    Johan Norberg, webbutvecklare.

    @GitHub

    Läs min blogg

    Kommentera

    • #3
      Misstänkte det... räcker det att tvätta med filter_var() funktionen eller finns det någon speciell metod för att upptäcka javascript?
      Med vänlig hälsning

      Clownen

      Kommentera

      Föregående template Nästa
      Working...
      X