DevProTalk - Pogledajte određenu poruku

tasmaniski · 29. 01. 2012.

Sto se tice slanja $_POST u model, radio sam na kodu gde je slucaj ovakva:

Polja na formi se nazovu isto kao i polja u bazi, i tako da kad se post prosledi modelu
moze odmah da se uradi insert(selekt i dr.) jer je niz koji je key => value vec u postu.

Sve je secure tu nema sta, al jednostavno nisam za to, jer potencjalni napadac moze da izvuce koliko toliko semu baze, jeste da ne moze nista al mi se to ne svidja.
Ako neki junior sutradan treba da nesto dodaje/oduzme radice copy-paste i moguce da ce negde da zajebe nesto.
Citljiviji mi je kod ako u kontroleru pripremim post i samo odredjene parametre prosledim u model.

29. 01. 2012.	#15
tasmaniski profesionalac Professional Datum učlanjenja: 08.11.2010 Poruke: 211 Hvala: 68 78 "Hvala" u 32 poruka	Sto se tice slanja $_POST u model, radio sam na kodu gde je slucaj ovakva: Polja na formi se nazovu isto kao i polja u bazi, i tako da kad se post prosledi modelu moze odmah da se uradi insert(selekt i dr.) jer je niz koji je key => value vec u postu. Sve je secure tu nema sta, al jednostavno nisam za to, jer potencjalni napadac moze da izvuce koliko toliko semu baze, jeste da ne moze nista al mi se to ne svidja. Ako neki junior sutradan treba da nesto dodaje/oduzme radice copy-paste i moguce da ce negde da zajebe nesto. Citljiviji mi je kod ako u kontroleru pripremim post i samo odredjene parametre prosledim u model.