Bazı LDAP girişlerini yöneten bir PHP uygulaması yazıyorum. Belirli bir daldan gelen girdileri gösteren ve bazı objectClasses üzerinde filtreleme yapan bir sayfa var (yalnızca belirli yetkili kullanıcılara vs.)."raw" arama filtrelerini ldap_search() işlevine iletmek güvenli midir?
'raw' url tanımlı filtreleri ldap_search() işlevine iletmenin güvenli olup olmadığını merak ettim veya bu herhangi bir türde güvenlik sorunlarına neden olabilir.
sonra böyle bir şey olacak kurulacak filtre: Elbette
"(&(&(objectClass=myClass1)(objectClass=myClass2))". $_GET['filter'] .")"
, ben LDAP işlevleri asla yazma SQL böyle bir şey, ama kullanan olacak? Bunu yapmanın olası bir risk görmüyorum, yanlış mıyım?
NOT: Yanlış filtreler sözdizimi, vb. Gibi şeyler umrumda değil, URL oluştururken başka bir yere kaçış yapıyorum çünkü. El ile tanımlanmış filtrelerde hata olması durumunda, kullanıcıya bir hata gösterilmemelidir.