приветствую
если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
и не проверю, то могут ли мне подсунуть некий код вместо IP, который вскроет скрипт?
> приветствую
> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
> и не проверю, то могут ли мне подсунуть некий код вместо IP,
> который вскроет скрипт?в общем случае - нет.
>> приветствую
>> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
>> и не проверю, то могут ли мне подсунуть некий код вместо IP,
>> который вскроет скрипт?
> в общем случае - нет.меня интересуют все случаи
Это значение формирует апач (или что там у вас) из данных tcp/ip стека ОС, если вы им обоим доверяете, то проверять смысла нет, а если не доверяете, то ваш скрипт и так в опасности. Только имейте ввиду, что там может оказаться как IPv4, так и IPv6, так что проверять всё-равно наверное понадобится...
> Это значение формирует апач (или что там у вас) из данных tcp/ip
> стека ОС, если вы им обоим доверяете, то проверять смысла нет,
> а если не доверяете, то ваш скрипт и так в опасности.
> Только имейте ввиду, что там может оказаться как IPv4, так и
> IPv6, так что проверять всё-равно наверное понадобится...так "нет смысла" или "понадобится" ?
почему понадобится то?
> так "нет смысла" или "понадобится" ?
> почему понадобится то?Зависит от того, что вы делаете потом с этим адресом. Если просто складываете в базу в текстовом виде, то проверять не надо - надо только размер поля в базе увеличить до такого, чтобы весь IPv6 в него помещался. А если ещё какие-то манипуляции с ним производите (или храните в базе не в текстовом формате), то тут вам виднее надо ли его проверять и как именно.
>> так "нет смысла" или "понадобится" ?
>> почему понадобится то?
> Зависит от того, что вы делаете потом с этим адресом. Если просто
> складываете в базу в текстовом виде, то проверять не надо -
> надо только размер поля в базе увеличить до такого, чтобы весь
> IPv6 в него помещался. А если ещё какие-то манипуляции с ним
> производите (или храните в базе не в текстовом формате), то тут
> вам виднее надо ли его проверять и как именно.вообще-то вопрос был: могут ли мне подсунуть опасный код вместо IP?
как я могу быть уверен, что там текстовый вид, без проверки?
а "складывать в базу", что-либо, без проверок это вообще ахтунг.
проверку я делаю строгую, но простую
ipv4 должен выглядеть, как (1-3 цифры, точка) повторить 3 раза и ещё раз 1-3 цифры
у меня вопрос возник: - а не параноик ли я?
пока что толком никто не знает, насколько я понял.
Немогут