Citat:
Originalno napisao cvele
uh, ko da smo u pecini sa svih strana odjekuje xss
|
Obzirom da sam ja zaduzen za programerski deo cele ove price, hteo bih da se zahvalim svima na vrlo interesantnim (iako ne bas nesto posebno uspesnim) pokusajima kada je u pitanju xss. Odjekivanje je mozda posledica toga sto samo sam sebe cujes
Slazem se da na par mesta ima prostora da se injectuje neki code (u principu, samo javascript), ali vremenom ce sve to biti sredjeno.
Glavna stvar je da injectovanjem bilo kakvog code-a nije moguce proizvesti nesto sto bi nastetilo podacima - tipa drop (kao sto je neko odavde domisljato probao) ili sl sto bi kompromitovalo bazu.
Za one koji se malo ozbiljnije bave PHP-om skapirat ce koja je prednost koriscenja Smarty templating-a u kombinaciji sa objektno orjentisanim PHP engine-om za rad sa bazom a i uopste.
A isto tako, rad preko view-ova sa filtriranjem podataka na samo one koji treba da se prikazuju je fino resenje, iako ima i bolje...recimo da se napravi mysql user sa samo SELECT pravima koji ce da vrsi vecinu operacija, a onaj sa malo vecim pravima samo tamo gde je potrebno, i ograniceno na ono sta je potrebno...samo bacam ideje iz glave...ali je sve vise stvar performansi, snalazenja u code-u i sl - backend
Sve u svemu hvala puno i na vasem doprinosu da cela ova prica vremenom bude u svakom smislu unapredjena. Ja u svakom slucaju pomno pratim logove tako da ce eventualni propusti biti uoceni na vreme.
Sve najbolje
Marko