Hoofdcategorieën

Forum » Devschuur® » Programming » [Forumgame] Vind de kwetsbaarheid! » Reageren

Nieuwe reactie in topic: [Forumgame] Vind de kwetsbaarheid!

Let op:
  • Reageer ontopic, plaats geen onzinnige berichten en ga niet flamen of uitlokken (trollen).
  • Zie je iets dat niet door de beugel kan, attendeer dan een moderator via een topicreport maar post hierover niet in het topic, dat werkt alleen averechts. Zie ook de policy die wij op dit forum hanteren.
  • Lees je eigen bericht even door voor je het post.
Insert message
 

Let op! Het laatste bericht in deze discussie is meer dan 2 weken oud!

 
Smilies: :) :( ;) >:) :> :P :9 :o :*) :'( 8) :+ :D _/-\o_ :9~ O+ :O }:O :/ :| :X :? 8)7 |:( O-) :z ;( meer »
Page navigation

Laatste reacties:

Geplaatst op donderdag 29 mei 2008 14:26

Acties: [quote]

Door: Muthas
 
Het is sowieso onzin om te escapen/XSS filteren bij het weergeven van data, imo moet je dat doen zodra je het in je de database zet.
 

Geplaatst op donderdag 29 mei 2008 14:27

Acties: [quote]

Door: Bosmonster
 
quote:
PrisonerOfPain schreef op donderdag 29 mei 2008 @ 14:23:
Tenzij de titel en de tekst al escaped (htmlentities / htmlspecialchar) in de database staan heb je last van XSS.
Maar dat ligt dan meer aan het feit dat je dat zo in de database hebt staan. Das al een WTF op zich.
 

Geplaatst op donderdag 29 mei 2008 14:30

Acties: [quote]

Door: PrisonerOfPain
 
quote:
Muthas schreef op donderdag 29 mei 2008 @ 14:26:
Het is sowieso onzin om te escapen/XSS filteren bij het weergeven van data, imo moet je dat doen zodra je het in je de database zet.
Párdon? De data in de database heeft níets te maken met de weergave van de betreffende content, escapen van de data met htmlentities ed. doe je gewoon in de view layer.
 

Geplaatst op donderdag 29 mei 2008 14:33

Acties: [quote]

Door: Muthas
 
En dat je weet ik het hoeveel keer hetzelfde met je data doet terwijl je die data altijd ge-escaped nodig zal hebben maakt niet uit?
 

Geplaatst op donderdag 29 mei 2008 14:34

Acties: [quote]

Door: CyCloneNL
 
quote:
PrisonerOfPain schreef op donderdag 29 mei 2008 @ 14:23:
Tenzij de titel en de tekst al escaped (htmlentities / htmlspecialchar) in de database staan heb je last van XSS.
Hij is escaped enzo.
 

Geplaatst op donderdag 29 mei 2008 14:45

Acties: [quote]

Door: PrisonerOfPain
 
quote:
Muthas schreef op donderdag 29 mei 2008 @ 14:33:
En dat je weet ik het hoeveel keer hetzelfde met je data doet terwijl je die data altijd ge-escaped nodig zal hebben maakt niet uit?
Dat is nogal een non-optimalisatie; zodra dit een bottleneck word doet de view layer z'n eigen caching maar. In een database wil je dit soort dingen gewoon niet hebben omdat op dat punt helemaal nog niet vast staat wat het output formaat gaat worden.
 

Geplaatst op donderdag 29 mei 2008 14:45

Acties: [quote]

Door: Voutloos
 
quote:
Muthas schreef op donderdag 29 mei 2008 @ 14:33:
En dat je weet ik het hoeveel keer hetzelfde met je data doet terwijl je die data altijd ge-escaped nodig zal hebben maakt niet uit?
Escapen is niet generiek, maar doe je voor een bepaalde context. Pas als jij zeker weet welke context altijd gebruikt wordt kan dit een vd bewuste optimalisatie trucs zijn.
edit:
...waarbij het compleet cachen van grote blokken van je site idd krachtiger kan zijn. Maar wellicht ook lastiger. :P
 

Geplaatst op donderdag 29 mei 2008 17:21

Acties: [quote]

Door: CyCloneNL
 
In ieder geval, een fout is dat alle open HTML tags niet worden afgesloten.
Dus als er net een h1 tag geopend is, wordt de hele pagina dik gedrukt.
 
VNU Media logo Powered by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden

Uitgever van: