А что в этом гипотетического?? Админ сайта с помощью этого скрипта, установленного на главной странице, собирает статистику посещаемости своего сайта, из которой он по максимуму узнает все о пользователе и его браузере… По мере накопления этой инфы, он ее обрабатывает… Ничего гипотетического в нем нет.
Статистику сайта так никто не собирает (точнее только те у кого посещаемость 10 хитов в стутки) Я собираю статистику сайта и мне нужны далеко не все заголовки (а только те что говорят о пользователе, в том числе и генерируемые JS в качестве доп-информации), и я их даже в базу не пишу (у меня нет своего личного сервака, по этому пишу в файл и закачиваю статистику себе на комп где уже её заношу в базу и обрабатываю)
Ты просил скрипт на все заголовки? Вот и получил. Этому скрипту пофик на суть данных, но он завалит сайт переполнением. Поэтому фильтрация данных нужнa и до их ввода в базу данных. А статистику сайта лучше вести по всем заголовкам, мало ли какие потом в голову идеи придут, чтобы увидеть, как это отразится на пользователях.
Этому (гипотетическому)скрипту нужна, реальному нет !!! Не по всем а по двум типам "те которые не подделать" и "те которые можно подделать, но которые принесут пользу если их не подделали"
Фильтровать данные надо! Например для запрета использования html-тегов в сообщениях, чем юзать htmlspecialchars имеет больший смысл использовать striptags, хотя-бы ради экономии места в БД. Это как раз фильтрация!
[vs], привожу реальный пример: раньше, вордпресс так и делал. Тупо вырезал теги. В резаультате, запостить КОД! в блоге было невозможно в принципе. Попытки сделать "заплатки" типа допущения некоторых тегов, ит.п. привели лишь к XSS и прочей лабудени. Ничего не надо фильтровать, обрезать, необдуманно.
Гы, ты не прочитал топик... (а если я хочу запостить именно HTML но в текстовом виде ?) Я постоянно с таким сталкиваюсь аж бесит (на cssing.org.ua постоянно пишу "каменты" и постоянно не могу выразить мысль так как 99% смысла фильтруется) к безопасности какое это отношение имеет ?
Вот только на днях до меня доперло, что ты 100% прав. А доперло вот по чему: Человек добавил название песни в базу "Black & White", а функция htmlspecialchars преобразовала её в "Black & White". В результате чего в тексте пеня выводится, но ссылка не ведет на описание песни, потому что по запросу "Black & White" в базе ничего нет.
Я всегда прав (когда трезвый) но увы не все это понимают вовремя, а многие не слушают меня и совершают ошибки...
Советую всем почитать КМБ (курс молодого бойца) на inattack.ru =) правдо инаттак сейчас в отключке, двиг меняют...