Escapování znaků php vs Smarty

Napsal protected;1369839

Ještě mě napadá.. jak moc je důležité escapovat a celkově ošetřit výstupy z dtb na stránce, kterou může vidět jen stejný uživatel, který ji může editovat a nikdo jiný (ani teoreticky).

Konkrétně nějakou sekci "Můj zápsiník". xss útoky by mohl provádět tedy pouze sám sobě.

řeší se to?

Určitě je třeba to ošetřit všude.

Díky,ale proč? (jen ze zajímavosti).

Co když tě někdy v budoucnu napadne ten obsah zobrazit i jinde? Budeš si pamatovat, že ho nemáš ošetřený a že ho musíš ošetřit?Co když přidáš k uživateli další uživatele, kteří mohou editovat jeho obsah (tvoji administrátoři, jeho kolegové - firemní účet atd.), budeš si pamatovat, že musíš začít ošetřovat obsah?Nejvíc bezpečnostních chyb vznikne ne při úvodním naprogramování, ale právě při dalších interacích, kdy se již na podobná specifikace a předpoklady zapomnělo.Další důvod je, že uživatel může mít nainstalovaný zákeřný doplněk, který tam cizopasný kód propašuje, poté má útočník kontrolu na obsahem webu a může spouštět kód ikdyž doplněk bude vyléčen/smazán.Nebo třeba třetí strana (pokud se nepoužívá https) vloží do posílaného obsahu svůj kód a upraví ho, opět uživatel je v tom nevinně a přitom tvoje stránka umožnila mu tam spouštět kód.Pokud jde o bezpečnost, ptát se na důvod je kontraproduktivní. Často ani lidé, kteří se zabývají bezpečnostní neznají konkrétní důvody pouček, protože je přebírají o zkušenějších lidí. Aneb pokud já neznám význam neznamená to, že neexistuje a že někdo jiný ho nezná.

rozumím, to zní velmi rozumně.Díky,