Seguridad de PHP: ¿cómo puede ser mal utilizada la codificación?
De esta excelente "UTF-8 hasta el final"pregunta, leí sobre esto:
Desafortunadamente, debe verificar que todas las cadenas enviadas sean UTF-8 válidas antes de intentar almacenarlas o usarlas en cualquier lugar. PHP mb_check_encoding () hace el truco, pero tienes que usarlo religiosamente. Realmente no hay forma de evitar esto,como clientes maliciosos Pueden enviar datos en cualquier codificación que deseen., y no he encontrado un truco para que PHP haga esto por usted de manera confiable.
Ahora, todavía estoy aprendiendo las peculiaridades de la codificación, y me gustaría saber exactamente qué pueden hacer los clientes malintencionados para abusar de la codificación. ¿Qué se puede lograr? ¿Alguien puede dar un ejemplo? Digamos que guardo la entrada del usuario en una base de datos MySQL, o la envío por correo electrónico, ¿cómo puede un usuario crear daño si no uso elmb_check_encoding
funcionalidad?