R(
Size: a a a
2018 December 05
АВ
То есть всё что не этот символ - в топку
Я просто из plsql, поэтому подумала ^-должен начинаться с символа
АВ
Спасибо за новую инфу
IN
УБЕЙ ВСЕ ПРОБЕЛЫ, УБЕЙ ИХ, УБИВАТЬ, УБИВАТЬ, УБИВАТЬ
ой, сразу вспомнился сайт гейзенбага
DA
Я просто из plsql, поэтому подумала ^-должен начинаться с символа
если в квадратных скобках - то отрицание. иначе - знак начала строки
DA
ой, сразу вспомнился сайт гейзенбага
хорошо что не сайт rubyrussia
D
Это один символ :) Ты модификаторов повтора не включил.
часть пунктуационных знаков еще можно добавить, и русские буквы
DA
часть пунктуационных знаков еще можно добавить, и русские буквы
если не знаешь что положить в блеклист - сделай whitelist
DA
но в целом - проблему лучше решать на другом уровне
D
если не знаешь что положить в блеклист - сделай whitelist
я надеялась, что есть универсальное классическое решение
D
но в целом - проблему лучше решать на другом уровне
на каком?
DA
не передавать то что пользователь ввёл напрямую в код
D
это сохраняется в базе
DA
напрмиер против sql-инъекций работают параметризованные запросы
R(
"Ты говоришь прямо как классик. А знаешь кто такой классик? Классик — это умник который уже умер".
(с) сериал "Граф Монте-Кристо", емнип.
(с) сериал "Граф Монте-Кристо", емнип.
R(
не передавать то что пользователь ввёл напрямую в код
Это решение для бэка. А для фронта может быть нужно подсказывать пользователю допустимый ввод и что он где-то ошибся.
R(
Поэтому я говорю про два уровня, а не один.
D
сейчас я могу ввести <img src="https://bit.ly/2SxsPnh"/>, сохранить, и на веб-странице в списке будет вместо названия сущности эта прекрасная картинка с пони
R(
Ты добрая, в Плейтеке могли бы и Черного Властелина ввести :)