Задать вопрос
savostin
@savostin
Еще один программист
javascript

Безопасно ли открывать схему проверки входных данных сайта?

Есть некий сайт, входные данные от пользователя которого проверяются, скажем, regexp'ом.
Для отзывчивости веб-интерфейса данные проверяются Javascript на стороне клиента, для предотвращения взлома - дополнительно на стороне сервера (php). Regexp один и тот же. Есть мысль вынести его в json файл, доступный по http, и подгружать его в Javascript.
Насколько это опасно, ибо 100% уверенности в полном покрытии всех возможных XSS нет?
Т.е. зная regexp имхо проще подобрать вредоносные входные параметры, чем не зная. Но большинство CMS, форумов и пр. с открытым исходным кодом почему-то не сильно этого боятся.
  • Вопрос задан
  • 3119 просмотров
1 комментарий
Подписаться 3 Оценить 1 комментарий
Решения вопроса 1
@Vampiro
Не стоит бояться показывать пользователю как вы проверяете входные данные. Их сокрытие никак не повышает безопасность.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
Melkij
@Melkij
PostgreSQL DBA
Какая связь между регуляркой и XSS?
На стороне пользователя - валидация логики. На стороне сервера - повторная валидация логики и соответствующее экранирование/преобразование для сохранности и безвредности этих данных. Если в БД сохранение - prepared statements, вывод в HTML - htmlspecialchars, вывод в JSON - json_encode, вывод ещё куда - соответствующие преобразования для этого конкретного формата.
Ответ написан
1 комментарий
1 комментарий
FanatPHP
@FanatPHP
Чебуратор тега РНР
Как и большинство хомячков, афтор путает валидацию данных и форматирование вывода.

Как правильно отмечено постом выше, эти две вещи никак друг с другом не связаны. Вообще. Разве только тем, что если полагаться на валидацию входящих, то можно налететь на инъекцию второго порядка, точно так же, как в случае с SQL.

Поэтому валидацию надо оставить как есть, а форматирование производить в обязательном порядке в автоматическом режиме, средствами шаблонизатора. При этом учитывая среду, в которую данные выводятся. Для SQL, HTML, JS и многих других разных вариантов вывода форматирование должно быть РАЗНЫМ
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
SummerWeb Ярославль
от 100 000 до 140 000 ₽
JavaScript разработчик
вАйТи
от 5 000 до 25 000 ₽
JavaScript Fullstack
OnClass
от 200 000 до 600 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Репетитор javascript vue.js tauri rust
23 апр. 2024, в 23:58
3000 руб./в час
Разработка дизайна раздела «Статьи» на сайте «Мир отходов»
23 апр. 2024, в 23:01
10000 руб./за проект
Дизайн личного кабинета (клиентская часть)
23 апр. 2024, в 22:37
500 руб./в час
Ещё заказы