Задать вопрос
@Programmir

Нужно ли экранировать get-запросы в input?

Допустим в input type="hidden" я вставляю GET-запрос. Нужно ли мне ещё обертывать его в htmlspecialchars? Или это излишне? В базе данных это сохраняться не будет.
  • Вопрос задан
  • 437 просмотров
Подписаться 1 Простой Комментировать
Ответ пользователя xmoonlight К ответам на вопрос (3)
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
1. Всё, что приходит от пользователя - должно быть отфильтровано через regex на ожидаемые паттерны.
2. Все "тела" бинарных файлов (изображений, документов и т.д.) должны быть проверены на корректность ожидаемой структуры данных внутри них.
3. Исходники - (помимо запуска в "песочнице" с урезанными правами) ещё и на опасные действия внутри кода.
И НИКАК ИНАЧЕ!
Ответ написан
Комментировать