插件安全如何保证(FOR 插件作者版)

应该支持！
插件确实要规范一下，最好成立一个插件认证小组

的确值得注意。。。。插件如果能考虑到以后论坛的升级就好了

还要继续努力学习下.....

插件能利用本身官方的变量或过程是最好D~~~

顺便问下，非执行程序（即HTML）的不安全性有多少~~

原帖由 ldy413 于 2006-10-20 15:05 发表
插件能利用本身官方的变量或过程是最好D~~~

顺便问下，非执行程序（即HTML）的不安全性有多少~~

这个的问题就不是安全问题了,这个是兼容问题.

原帖由 topbad 于 2006-10-20 14:38 发表
貌似DZ已经做过addslashes()转义,DZ数据表引出的变量无须再addslashes(),否则2次转义了.非涉及DZ数据表的一定需要.....

是的,在第4中已经提到

原帖由 topbad 于 2006-10-20 14:42 发表
貌似DZ本身已经定义过的addslashes转义仅仅过滤单引号

string addslashes ( string str)


返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。

一个使用 addslashes() 的例子是当你要往数据库中输入数据时。例如，将名字 O'reilly 插入到数据库中，这就需要对其进行转义。大多数据库使用 \ 作为转义符：O\'reilly。这样可以将数据放入数据库中，而不会插入额外的 \。

DZ定义的其实也一样,只是加了组数一起转义

1. function daddslashes($string, $force = 0) {
   
2.         if(!$GLOBALS['magic_quotes_gpc'] || $force) {
   
3.                 if(is_array($string)) {
   
4.                         foreach($string as $key => $val) {
   
5.                                 $string[$key] = daddslashes($val, $force);
   
6.                         }
   
7.                 } else {
   
8.                         $string = addslashes($string);
   
9.                 }
   
10.         }
    
11.         return $string;
    
12. }

复制代码

支持插件作者
！！

………………

MJJ~

看不懂:L