|
Variablen Korrekt Initialisieren (wg. globals.php) |
|
Sonntag, 10. September 2006 |
so werden Variablen initialisiert (ein Weg weg von der globals.php :)
if ( !$sectionid && @$_POST['filter_sectionid'] ) {
$sectionid = $_POST['filter_sectionid'];
}Dieser Code ist ein Quell potentieller Angriffe. Es sollte mosGetParam mit einem Standardwert benutzt werden, z.B.$filter_sectionid= mosGetParam( $_POST, 'filter_sectionid', 0 ) Wenn ein Integer erwartet wird, könnte folgendes genutzt werden:$filter_sectionid= intval( mosGetParam( $_POST, 'filter_sectionid' ) ); Wenn es sich um einen Text handelt, der später in einer SQL Query genutzt werden soll, sollte zusätzlich noch folgendes gemacht werden:$filter_sectionid= mosGetParam( $_POST, 'filter_sectionid', '' );
$filter_sectionid= $database->getEscaped( $filter_sectionid);
// oder
$filter_sectionid= $database->Quote( $filter_sectionid); Es sollte nie @$_GET oder @$_POST, etc, im Code genutzt werden. |