Данные, Отправляемые Пользователем
Данные, отправляемые пользователем
Самые большие дыры во многих PHP-программах зависят не столько от самого языка, сколько от кода, написанного без учёта обеспечения безопасности. Соответственно, вы всегда должны выделять время для исследования влияний на данный участок кода, чтобы знать о возможном вреде, который может нанести отправка в него переменной с нестандартным значением.
Вы всегда должны тщательно проверять ваш код, чтобы гарантировать, что любые переменные, отправляемые из web-браузера, соответствующим образом будут проверены, и задайте себе следующие вопросы:
Будет ли данный скрипт воздействовать только на предполагаемые файлы?
Могут ли быть обработаны необычные или нежелательные данные?
Может ли данный скрипт быть использован несоответствующим образом?
Может ли он быть использован в сочетании с другими скриптами негативным образом?
Будет ли выполнен адекватный логинг для каждой транзакции?
Возможно, вы захотите также предусмотреть отключение register_globals, magic_quotes или других установок, которые могут создать у вас неуверенность в проверке, источнике или значении данной переменной. Работа с PHP в режиме error_reporting(E_ALL) также может помочь, предупреждая вас о переменных, используемых до проверки или инициализации (что предотвратит операции с необычными данными).