АП
конечно нет
Size: a a a
2020 January 15
АП
и даже в талицу без проверки нельзя складывать
V
и даже в талицу без проверки нельзя складывать
Без проверки чего?
V
Запрещенных символов?
АП
что имя валидно и никаких вещей вроде иньекций не содержит
V
что имя валидно и никаких вещей вроде иньекций не содержит
У тебя есть список всех иньекций?)
АП
V
Так-то тогда рли проще зашифровать имя файла, а потом расшифровывать, не?
АП
как хотишь
V
В базе данных и файловой системе он будет под шифрованным именем
V
Когда пойдет на скачивание дешифруется и выплевывается
АП
нужно понимать - что имя файла - это пользовательский ввод, как и содержание
АП
и потому нужно эти данные строго валидировать
V
и потому нужно эти данные строго валидировать
Как string- да, но не больше
V
Ну может слеши обрезать
V
У тебя есть список всех иньекций?)
Но в целом
АП
<script>document.location.href="xxx"</script>
АП
в имя файла можно и такое отправить
V
И что дальше?
АП
самое безобидное редирект