it-swarm-eu.dev

Co znamená „dezinfikovaný“ (v dokumentaci api)?

Ahoj, vidím slovo "sanitized" docela často v Drupal API dokumentaci).

Například tato stránka: theme_username ($ proměnné)

$ proměnné Asociativní pole obsahující:

account: Uživatelský objekt, který se má formátovat.

name: Jméno uživatele, dezinfikované .

extra: Doplňkový text připojený ke jménu uživatele, dezinfikovaný .

Co znamená dezinfikovaná v kontextu?

5
gilzero

'Sanitizace' je odstranění škodlivých dat ze vstupu uživatele, jako jsou odeslání formuláře nebo snadněji ...

Čištění vstupu uživatele, aby se předešlo konfliktům kódu (například duplicitní ID), problémům se zabezpečením (kódy xss atd.) Nebo jiným problémům, které by mohly vzniknout v důsledku nestandardizovaného vstupu a lidské chyby/odchylky.

V závislosti na kontextu bude mít sanitace několik různých podob. Mohlo by to být tak jednoduché jako odstraňování vulgarit a lichých symbolů z textu k odstranění pokusů o vstřikování SQL a dalších pokusů o vniknutí škodlivého kódu.

Můžete si udělat představu o tom, co je všeobecná sanitizace drupal jádro, podívejte se na: http://api.drupal.org/api/drupal/includes--common.inc/skupina/dezinfekce/7

Například funkce check_plain () bude:

Zakódujte speciální znaky do prostého textového řetězce pro zobrazení ve formátu HTML.

Také ověřuje řetězce jako UTF-8, aby se zabránilo útokům skriptování mezi weby v aplikaci Internet Explorer 6.

nebo filter_xss () který:

Filtruje řetězec HTML, aby se zabránilo zranitelnostem skriptování mezi weby (XSS).

8
electblake

Klíčovou myšlenkou při zpracování vstupů Drupal) je to, že jakákoli data jsou přijímána od uživatele, ale určitě vydáme výstup na obrazovku (nebo použít v databázových dotazech) pouze „dezinfikovaná“ data - která nezpůsobí žádné škody, neposkytnou XSS a související příležitosti atd.

Abychom pochopili výše uvedenou vynikající odpověď, musíte se ujistit, že této strategii rozumíte. Možná vás bude zajímat čtení vynikající malé knihy „Cracking Drupal“ nebo zdroje z http://crackingdrupal.com/ .

3
rfay

Dva významy zde, jeden správně kóduje znaky jako & nebo ', druhý zabraňuje vložení kód .

2
tim.plunkett

„Sanitizace“ je odstranění škodlivých dat ze vstupu uživatele, například odeslání formuláře

0
tijo