OFF: PHP biztonság

Válas Péter sulinet at postafiok.hu
2014. Sze. 4., Cs, 16:25:28 CEST


Sziasztok!

Kicsit off, elnézést.
Van egy weboldalam, aminek a fizetési oldalába a marketingesek egy ún.
konverziós kódot akarnak beépíteni. Ez olyasmi, ami a
https://support.google.com/adwords/answer/1722021#correct címen látható
(HTML és Javascript).
A baj az, hogy minden Adwords- és Facebook-kampányhoz új kód tartozik,
nekem pedig se kedvem, se időm minden alkalommal ugrani és
átírni/feltölteni/tesztelni a programot, amikor ők új kampányt kezdenek. Na
ezért akarom megoldani, hogy nélkülem menjen.

Arra gondoltam, hogy csinálok egy egyrekordos, egymezős táblát, amibe
egyetlen felhasználó írhat külön menüpontban, a saját marketingesünk. A
bevitt szöveget escape-elve tárolom. Sajnos algoritmikusan nem tudom
ellenőrizni, hogy a tárolt szöveg valóban ilyen kódok egymásutánja-e, itt
jön a bizalom, saját ember nyilván nem fogja beleírni, hogy Gazsi bácsi
lótetű. Maga a szöveg csak bevitelkor szerepel SQL utasításban,
mysql_real_escape()-ben. A fizetési oldal kiolvassa a tartalmat, és
printtel beleírja a lap kódjába. Tudom, hogy ez elég amatőr, de nem tudok
sokkal jobbat kitalálni, ami ugyanekkora munkával megvalósítható. Mekkora
ennek a kockázata? Van jobb ötletetek ugyanebben a súlycsoportban, ami nem
egésznapos fejlesztőmunka?
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20140904/3380cbd9/attachment.html>


További információk a(z) Techinfo levelezőlistáról