www.tapsa.gov
Well-known member
Tekaisen työpaikalle php:llä palautelomakkeen. Tietokantoja ei käytetä eikä lomakkeelle pääsy vaadi mitään kirjautumisia tai salasanoja. Laitoin palauteskriptiin seuraavat tarkastukset:
- tarkastaa http_refererillä, että lomake tulee siitä osoitteesta, missä tekemäni lomake on
- poistaa html- ja php -koodit strip_tags() funktiolla
- säännöllisillä lausekkeilla poistaa vielä erikoismerkit /, .., %,^ ja *
Liekö tuossa suunnilleen kaikki, mitä turvallisuuden eteen voi tässä tehdä? Käytän myös post-metodia ja tietysti superglobaaleja muuttujia.
Palauteskripti on omassa hakemistossaan, johon ulkopuolisilla on vain suoritusoikeus.
- tarkastaa http_refererillä, että lomake tulee siitä osoitteesta, missä tekemäni lomake on
- poistaa html- ja php -koodit strip_tags() funktiolla
- säännöllisillä lausekkeilla poistaa vielä erikoismerkit /, .., %,^ ja *
Liekö tuossa suunnilleen kaikki, mitä turvallisuuden eteen voi tässä tehdä? Käytän myös post-metodia ja tietysti superglobaaleja muuttujia.
Palauteskripti on omassa hakemistossaan, johon ulkopuolisilla on vain suoritusoikeus.