Abuse Melding

Je hebt een klacht over de onderstaande posting:

10-09-2013, 20:31 door Anoniem

Door Anoniem: Helaas is " htmlspecialchars($_GET['test'],ENT_QUOTES,'utf-8');" niet best practice. Je filtert nl. de input, echter je moet het zo strict mogelijk valideren. Het gaat nl. niet alleen om security, maar ook om de betrouwbaarheid van je code. Je code moet met alle invoer, die je toelaat logisch zijn. Als je bijvoorbeeld een integer verwacht en je krijgt een string, dan kan je code onverwachte dingen gaan doen, waar een hacker misbruik van kan maken. Gebruik frameworks zoals bijvoorbeeld Zend, waar dit soort validators al voor je gemaakt zijn. $validator = new Validator_Integer(); if($validator->isValid($_GET["id"]) === false){ throw new Exception("digit-not-valid"); } $id = $_GET["id"]; @ Viognier: Mee eens, echter sommige talen nodigen wel meer uit tot slechte code. PHP is helaas zo'n taal. In php kan je echter wel veilig programmeren, je moet je er alleen wel in verdiepen. Kan korter :) Door Anoniem: ... Ruby heeft de eigenaardigheid dat variabelen uit de context waarin de functie ...

Beschrijf je klacht (Optioneel):

captcha