ФорумПрограммированиеПыхнуть хотите?F.A.Q. → Безопасность.Часть 2.XSS уязвимость

Безопасность.Часть 2.XSS уязвимость

  • Patrick

    Сообщения: 506 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:01, спустя 1 час 22 минуты 38 секунд


    Нахрена какой-то проект, для замены двух функций?! Это маразм! Это уже верх маразма!

    это не маразм! а правда жизни!
    как ты будешь резать всё кроме ссылок и ещё с десяток элементов, причём некорые атрибуты мы пользователей просто обязанны заставить заполнить….
    ответь плиз….
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 18 декабря 2008 г. 8:05, спустя 4 минуты 23 секунды

    Patrick, смотрел этот проект с месяц назад, это вроде с хабра девелопер поддерживает проект?
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:19, спустя 14 минут 17 секунд



    Нахрена какой-то проект, для замены двух функций?! Это маразм! Это уже верх маразма!

    это не маразм! а правда жизни!
    как ты будешь резать всё кроме ссылок и ещё с десяток элементов, причём некорые атрибуты мы пользователей просто обязанны заставить заполнить….
    ответь плиз….

    В 95% случаев для защиты от XSS достаточно одной из двух функций на выбор: htmlspecialchars или strip_tags. И использовать какой-то бешеный проект для этих действий — глупо.
    В оставшихся 5% случаев элементарно хватает уже двух вышеназванных функций и preg_replace. Парсер пишется за 20 минут максимум.
  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 18 декабря 2008 г. 8:31, спустя 11 минут 51 секунду




    Нахрена какой-то проект, для замены двух функций?! Это маразм! Это уже верх маразма!

    это не маразм! а правда жизни!
    как ты будешь резать всё кроме ссылок и ещё с десяток элементов, причём некорые атрибуты мы пользователей просто обязанны заставить заполнить….
    ответь плиз….

    В 95% случаев для защиты от XSS достаточно одной из двух функций на выбор: htmlspecialchars или strip_tags. И использовать какой-то бешеный проект для этих действий — глупо.
    В оставшихся 5% случаев элементарно хватает уже двух вышеназванных функций и preg_replace. Парсер пишется за 20 минут максимум.
    зачем писать парсер, если он уже есть?
    харош тут разругались все)
    я жевикс использую, тока http://epsyl.ru/life/web/60/ а так все хорошо
    все умрут, а я изумруд
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:42, спустя 10 минут 41 секунду

    зачем писать парсер, если он уже есть?

    Зачем раскручивать Пыху, если есть пхпфорум? )))
  • Patrick

    Сообщения: 506 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:47, спустя 5 минут

    adw0rd, угумс
    sap, ладно спорить не буду, ибо безполезно!
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:50, спустя 3 минуты 22 секунды

    Patrick, ну почему же бесполезно? При наличии аргументов я всегда прислушиваюсь к чужой точке зрения. Только «зачем писать, если уже есть» аргументов не считается. Так что же такого хорошего в Jevix?
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 18 декабря 2008 г. 8:50, спустя 12 секунд

    sap, ладно спорить не буду, ибо безполезно!
    +1
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Patrick

    Сообщения: 506 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:55, спустя 4 минуты 57 секунд

    Jevix — система автоматического применения правил набора текстов (типографика) разработанная в ТМ™ (http://thematicmedia.ru) для собственных проектов (Хабрахабр (http://habrahabr.ru), Автокадабра (http://autokadabra.ru), Дрибблер (http://dribbler.ru)) с открытым исходным кодом наделённая способностью унифицировать разметку HTML/XML документов, контролировать перечень допустимых тегов и аттрибутов и предотвращать возможные XSS-атаки в коде документов.

    вот,твои 2-е функции это умеют?
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 18 декабря 2008 г. 8:59, спустя 3 минуты 12 секунд

    Типограф у меня отдельно идет, а защита от XSS это реально три функции — htmlspecialchars, strip_tags и preg_replace.
    Согласен, что если нет своего типографа и парсера, то есть смысл посмотреть на Jevix. Но только ради парсера — нет.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!