[dAEk]

Citat:

Ursprungligen postat av Kay

Jag har lite funderingar kring säkerhet också. Knackar ASP classic.

Formulärsfältet "kommentar" kollas med Regexp så det är exempelvis A-Z, a-z, 0-9. Om det replikerar True, är det lugnt att köra formulärsfältsvärdet ostrippat i en SQL-sträng eller är det möjligt att mata in data som går igenom regexpen men som ändå innehåller skräp som kan manipulera SQL-strängen?

Det borde vara säkert om det sker på servern. Har man komplexa regex eller om man jobbar flera stycken i ett projekt, då är risken större att det kan uppstå luckor. Vad händer om mönstret ändras? Säkerställs det att det inte slinker igenom farlig info? Sånt är lätt att missa. Vem som helst kan klanta sig.

Citat:

Ursprungligen postat av Kay

Vilka tecken bör strippas bort ifall man vill använda en Form/QueryString-variabel i en SQL-sats? Räcker det med att ersätta enkelfnutt med två?

Inget bör filtreras. Man vill oftast inte ändra på informationen, speciellt inte när man inte behöver. Använd parameteriserade frågor istället!

[taz76]

Citat:

Originally posted by Johan_S@Jun 3 2009, 18:58
Ju mer jag lär mig desto mer okunnig känner jag mig!

Man får bara inse att man inte kan kunna allting och definitivt inte komma ihåg allting :lol:

[Jonas]

Citat:

Originally posted by danjel@Jun 3 2009, 13:41
OK har knappt hört talas om MySQLi. Finns det fördelar kontra PDO..?

Största nackdelen med PDO är hastigheten.

Andra Pro/Con är en google sökning iväg (http://www.google.se/search?q=PDO+mysqli)

[Kay]

Får kika på parametriserade frågor då. Tack för svaren

[etanders]

Citat:

Ursprungligen postat av dAEk

Citat:

Det borde vara säkert om det sker på servern. Har man komplexa regex eller om man jobbar flera stycken i ett projekt, då är risken större att det kan uppstå luckor. Vad händer om mönstret ändras? Säkerställs det att det inte slinker igenom farlig info? Sånt är lätt att missa. Vem som helst kan klanta sig.

Ett bra tips är att använda enhetstester! Bryt ut funktionerna för att kontrollera och/eller strippa indata till en egen klass, och skapa en uppsättning enhetstester där du testar olika typer av indata, både sånt som ska gå igenom och sånt som ska stoppas. Varje gång du gjort en förändring t.ex. av regexp-kollarna så kör du enhetstesterna.

En stor del av wn-befolkningen verkar ju jobba med php, och jag vet inte riktigt hur enhetstester bäst läggs upp i ett php-projekt. Själv sysslar jag mest med ASP.NET och C# numera, och där är det väldigt smidigt, t.ex. med NUnit. För övrigt är det ju att rekommendera att använda enhetstester till fler delar av systemet än kontroll av indata...

[taz76]

Har för mig det finns något som heter PHPUnit eller nått åt det hållet för enhetstester.. dock ej kikat på det.

[dAEk]

Citat:

Originally posted by etanders@Jun 4 2009, 20:02
Ett bra tips är att använda enhetstester! Bryt ut funktionerna för att kontrollera och/eller strippa indata till en egen klass, och skapa en uppsättning enhetstester där du testar olika typer av indata, både sånt som ska gå igenom och sånt som ska stoppas. Varje gång du gjort en förändring t.ex. av regexp-kollarna så kör du enhetstesterna.

En stor del av wn-befolkningen verkar ju jobba med php, och jag vet inte riktigt hur enhetstester bäst läggs upp i ett php-projekt. Själv sysslar jag mest med ASP.NET och C# numera, och där är det väldigt smidigt, t.ex. med NUnit. För övrigt är det ju att rekommendera att använda enhetstester till fler delar av systemet än kontroll av indata...

Bra tips! Jag har använt det i Eclipse (JUnit) och har börjat kika på motsvarande funktionalitet i VS 2008. Det känns lite halvvingligt att utveckla utan.