Ich arbeite an einer Website, wo Inhaltsseiten mit mod_rewrite
behandelt werden, und ich versuche, die URL mit mod_rewrite
geschützt von mit einigen Char Einschränkung zu machen , da die Benutzer können Seiten Inhalt wie folgt erstellen:URL und mod_rewrite: viele spezielle Zeichen verwenden und Daten vor Angriffen schützen
http://site.com/content-type/Page-created-by-user
Meine Zweifel kommen, wenn sie so etwas wie ein:
http://site.com/architect/Giovanni+Dall'Agata
ich brauche '
char einfügen, weil ich Namen haben wie das zum Beispiel von berühmten Architekten, aber ich weiß nicht, ob ich Daten sicher aufbewahren kann und wie SQL injections
mit diesem Charakter verhindern.
Sollte ich etwas bestimmtes tun, um Angriffe zu verhindern?
I PDO class
in PHP
wie diese bin mit:
$architect = strip_tags (trim ($_REQUEST["architect"]));
// pdo class etc..
$pdo_stmt->bindParam (":arch", $architect, PDO::PARAM_STR);
// and the other code here...
Benutzer können keine Seiten mit diesen Zeichen erstellen: < >/\ * ? =
sollte ich '
und "
zu verbieten? Oder sollte ich nur einen von '
und "
Zeichen zulassen oder kann ich sie zusammen verwenden und Server sicher halten?
Was das Design angeht, wollen Sie wirklich gegen SQL-Injection zu bewachen - wie Ihr mod_rewrite Regeln - diesen Schutz bieten. Ihre Verwendung von gebundenen Parametern in PDO wird in dieser Hinsicht dringend empfohlen. – Schwartzie