Os formulários e os dados vindos do cliente constituem um ponto chave na elaboração de qualquer projeto web.Devido à sua vulnerabilidade a ataques,todo desenvolvedor deve se preocupar tanto com a consistência quanto com a autenticidade desses dados.Para isso, o PHP disponibiliza funções nativas para evitar os tipos mais comuns de ataque,que são a injeção de sql e ataques cross-site scripting.A versão 5.0 traz a função mysql_real_escape_string() que escapa os caracteres especiais numa string para usar no mysql.Na prevenção do famigerado cross-site scripting devemos prover o sistema com um mecanismo de bloqueio de tags HTML,fazendo uso,por exemplo,da função strip_tags() do PHP,lembrando que esses tipos de ataques evoluem constantemente e uma filtragem de conteúdo é a abordagem mais recomendada para a proteção do sistema.
0 comentários:
Postar um comentário