Скидка с цены (с strip_tags) достаточна для остановки нападений на XSS?
Понятие "новых" довольно неопределенно. Если Вы имеете в виду что-то как 100 новых строк тогда, можно просто добавить TOP(100) к Вашему SELECT пункт.
, Если Вы имеете в виду "новое" на основе новая дата тогда, можно просто сделать
SELECT timestamp,method,id,response
FROM rpc_responses
HAVING max(timestamp) = timestamp
4 ответа
_cancelled должен быть изменчивым . (если вы не выбрали блокировку)
Если один поток изменяет значение _cancelled , другие потоки могут не видеть обновленный результат.
Кроме того, я думаю, что операции чтения / записи _cancelled являются атомарными :
В разделе 12.6.6 спецификации CLI говорится: "Соответствующий интерфейс командной строки должен гарантировать, что доступ для чтения и записи к правильному выровненные ячейки памяти не больше чем исходный размер слова атомарен когда все записи обращаются к При рисовании пунктирных линий вы можете варьировать расстояние между штрихами, чтобы убедиться, что у вас никогда не будет частичных четырехугольников на конечных точках. Это может визуально отвлекать, так как расстояние будет регулироваться в зависимости от длины сегмента.
редактировать:
А, картинка помогает. Я предполагаю, что, поскольку это на iPhone, вы получаете серию точек, из которых линии между ними дают приемлемую кривую. Если это так, использование примитивов сплайнов / кривых, вероятно, излишне. Я бы, вероятно, подошел к рисованию линий, как показано, просто путем рисования четырехугольников в каждой точке данных, которая находится на заданном расстоянии от последней точки данных.
Алгоритм будет примерно таким:
- Нарисовать четырехугольник на первой точке данных (с соответствующим поворотом)
- Перемещайтесь по списку точек, пока не «
Например, в такой ситуации, как эта:$str = "10 appels is <than 12 apples"; var_dump(strip_tags($str));Я получаю следующий результат:
string '10 appels is ' (length=13)Что не очень хорошо для ваших пользователей :-(
Второй: Рано или поздно вам может потребоваться разрешить некоторые теги / атрибуты HTML; или даже сегодня вы можете быть уверены, что Markdown не генерирует некоторые теги / атрибуты HTML.Возможно, вас заинтересует что-то вроде HTMLPurifier : он позволяет вам указать, какие теги и атрибуты следует сохранить, и фильтрует строку, так что остаются только они.
Он также генерирует действительный HTML-код - - что всегда приятно ; -)
Дезинфекция результирующего HTML-кода после рендеринга Markdown будет наиболее безопасной. Если вы этого не сделаете, я думаю, что люди смогут выполнять произвольный Javascript в Markdown следующим образом:
[Click me](javascript:alert\('Gotcha!'\);)
PHP Markdown преобразует это в:
<p><a href="javascript:alert('Gotcha!');">Click me</a></p>
Что и делает работу. ... и даже не думайте начинать добавлять код, чтобы позаботиться о таких случаях. Правильная дезинфекция - непростая задача, просто используйте хороший инструмент и примените его после рендеринга Markdown в HTML.
Will allowing markdown present any security threats? Can markdown be XSSed, even though it has no tags?
It's almost impossible to make absolute statements in that regard - who can say what the markdown parser can be tricked into with sufficiently malformed input?
However, the risk is probably very low, since it is a relatively simple syntax. The most obvious angle of attack would be javascript: URLs in links or images - probably not allowed by the parser, but it's something I'd check out.
BBcode обеспечивает большую безопасность, поскольку вы создаете теги.
Если разрешен , он будет проходить через strip_tags;) Бац!