it-swarm-fr.com

Que signifie «aseptisé» (dans la documentation de l'API)?

Salut, je vois le mot "aseptisé" assez souvent dans la documentation de l'API Drupal.

Par exemple, cette page: theme_username ($ variables)

$ variables Un tableau associatif contenant:

compte: objet utilisateur à formater.

name: le nom de l'utilisateur, aseptisé .

extra: texte supplémentaire à ajouter au nom de l'utilisateur, aseptisé .

Que signifie aseptisé dans le contexte?

5
gilzero

La `` désinfection '' est la suppression des données malveillantes de l'entrée utilisateur, telles que les soumissions de formulaires ou peut-être plus simplement ...

Le nettoyage des entrées utilisateur pour éviter les conflits de code (identifiants en double par exemple), les problèmes de sécurité (codes xss, etc.) ou d'autres problèmes qui pourraient survenir à partir d'entrées non standardisées et d'erreurs/déviances humaines.

Selon le contexte, la désinfection prendra plusieurs formes différentes. Cela pourrait être aussi simple que de supprimer les vulgarités et les symboles étranges du texte pour supprimer les tentatives d'injection SQL et autres tentatives d'intrusion de code malveillant.

Vous pouvez avoir une idée de ce que la désinfection est généralisée à drupal core en consultant: http://api.drupal.org/api/drupal/includes--common.inc/group/sanitization/7

Par exemple, la fonction check_plain () :

Encodez des caractères spéciaux dans une chaîne de texte brut pour les afficher au format HTML.

Valide également les chaînes au format UTF-8 pour empêcher les attaques de script intersite sur Internet Explorer 6.

ou filter_xss () qui:

Filtre une chaîne HTML pour éviter les vulnérabilités de cross-site-scripting (XSS).

8
electblake

L'idée clé avec Drupal la gestion des entrées est que toutes les données sont acceptées par l'utilisateur, mais nous nous assurons de sortir à l'écran (ou à utiliser dans les requêtes de base de données) uniquement des données "nettoyées" - qui ne causeront aucun dommage, ne fourniront pas XSS et les opportunités associées, etc.

Pour comprendre l'excellente réponse ci-dessus, vous devez vous assurer que vous comprenez cette stratégie. Vous pourriez être intéressé par la lecture de l'excellent petit livre "Cracking Drupal" ou les ressources de http://crackingdrupal.com/ .

3
rfay

Deux significations ici, l'une codant correctement les caractères comme & ou ', l'autre pour empêcher injection de code .

2
tim.plunkett

La "désinfection" consiste à supprimer les données malveillantes des entrées des utilisateurs, telles que les soumissions de formulaires

0
tijo