Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: teele - 12.12.20 - klo:11.44
-
Onko olemassa mahdollisuus, että esimerkiksi html-koodista
<p>
Osallistujanumero
<input type = "Text" value ="testisyöte" name = "testisyötekenttä" onfocus="this$
</p>
lähetetään php $POSTille arvona vaikka php-koodia ja sitten, kun käytetään $POSTin arvoa esimerkiksi näin
muuttuja = $POST['testisyötekenttä']
suoritetaankin kentän arvona ollut php-koodi.
Jos on mahdollista, mikä olisi oikea tapa estää se.
-
PHP ei suorita lomakkeen kautta luettua POST-merkkijonoa koodina. Se pitäisi tehdä erikseen eval-funktiolla (https://www.php.net/manual/en/function.eval.php), jota kannattaa välttää koodissa, jos suinkin mahdollista.
Tietokantoja käytettäessä on oltava varuillaan SQL-injektioiden osalta, eli käyttäjän syöttämiä merkkijonoja tai muuta epäluotettavasta lähteestä tulevaa dataa ei pidä sijoittaa sellaisenaan SQL-lausekkeeseen, vaan lauseke kannattaa muodostaa esimerkiksi prepared statementin ja siihen sidottujen muuttujien avulla.
Katso: https://www.php.net/manual/en/security.database.sql-injection.php
-
Kiitos, oli selkeä vastaus :)