tag:blogger.com,1999:blog-5404326412829312831.post4493485411037987372..comments2010-12-23T11:49:53.252+02:00ReversTeamhttp://www.blogger.com/profile/02366198076795118274noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-5404326412829312831.post-41690153223261457702010-12-23T11:49:53.252+02:002010-12-23T11:49:53.252+02:00בחצי השני של הפודקאסט דובר על input validation כפתרון הראשון לכל בעיית קלט (XSS, SQL injection, אולי עוד?).<br /><br />בעיניי input validation צריכה להיות הפתרון האחרון לבעיות, אם בכלל. זה בגלל שמאוד מאוד קשה לעשות את זה נכון, זה בדרך כלל גורם לבעיות, וגם אחרי זה, אי אפשר להיות בטוח.<br /><br />נכון שblacklisting זה יותר גרוע, כיוון שהוא יכול להשאיר פרצות. אבל whitelisting הוא בדרך כלל פתרון שמשאיר הרבה קלטים שהיו צריכים להיות קבילים לגמרי בחוץ, רק בגלל עצלנות של המפתח. זה לא הוגן להגיד ל Tim O&#39;Reilly שהשם שלו לא חוקי.<br /><br />הצורה הנכונה, לפענ&quot;ד, לטיפול בקלט, צריכה להיות קידוד נכון ו-escaping לפי ההקשר. ב-SQL להשתמש ב-parameterized queries (שמטפלים בקידוד עבורנו), בפלט HTML תמיד לעשות HTML-escaping לטקסת חופשי, וכן הלאה.אביhttp://www.blogger.com/profile/09665190393491205893noreply@blogger.comtag:blogger.com,1999:blog-5404326412829312831.post-52273895248764992732010-11-04T19:34:45.491+02:002010-11-04T19:34:45.491+02:00מעניין מאוד...אבטחת מידעhttp://www.troya.org.ilnoreply@blogger.com