[CCA Developers] unserialize Alternative
Leo Unglaub
leo at leo-unglaub.net
Fr Feb 21 11:04:28 CET 2014
Hallo,
On 02/21/2014 10:01 AM, Martin Auswöger wrote:
> ich hoffe diese Mailinglist ist der Richtige Platz hierfür.
yep, das ist genau der richtige Platz dafür.
> Wäre es sinnvoll diesen unserialize-Parser in Contao zu übernehmen (Lizenz ist Public Domain) und in der deserialize zu verwenden?
Ich muss gestehen ich finde die Art und Weise wie die den Fehler behoben
haben richtig, jedoch meiner Meinung nach trotzdem ein Ansatz an
falscher Stelle.
Es ist "bad practice" User-Input einfach so entgegen zu nehmen und
weiter zu verarbeiten ohne es vorher zu filtern. Dafür gibts in PHP ja
die ganzen Filter/Sanitization Funktionen:
http://de1.php.net/manual/en/filter.examples.php
Wirklich richtig gelöst wäre es, wenn wir schauen welchen Typ wir
erwarten und uns diesen dann via filter_input auch holen:
http://de1.php.net/manual/en/function.filter-input.php
Dann hätte man absolute Sicherheit, ohne Speed einbusen. Jedoch wird man
das schwer in alte Contao Versionen rein bekommen, daher wäre es
vielleicht doch eine Überlegung zumindest in neuen Contao Versionen
diese State Maschine zu verwenden.
Viele Grüße
Leo
--
Leo Unglaub
Nachreihengasse 39 / Top 7
A-1170 Vienna
Austria
Phone: 0650 / 6575103
Website: http://www.leo-unglaub.net
Twitter: http://twitter.com/LeoUnglaub
Send with Mozilla Thunderbird on Linux (Debian)
More information about the Developers
mailing list