x

nette · Jan 9, 2025 · 0d264d9 · 0d264d9
1 parent 0439e69
commit 0d264d9
Showing 1 changed file with 9 additions and 4 deletions.
diff --git a/database/cs/security.texy b/database/cs/security.texy
@@ -113,14 +113,19 @@ Tento útok ukončí původní podmínku pomocí `0)`, připojí vlastní `SELEC
 Whitelist sloupců
 -----------------
 
-Pokud chcete uživateli umožnit volbu sloupců, vždy použijte whitelist:
+Pro bezpečnou práci s hodnotami zadanými uživatelem musíme striktně kontrolovat, které sloupce může ovlivnit. Řešením je whitelist - explicitní seznam povolených sloupců:
 
 ```php
-// ✅ Bezpečné zpracování - pouze povolené sloupce
+// Sloupce, které může uživatel upravovat
 $allowedColumns = ['name', 'email', 'active'];
-$values = array_intersect_key($_POST, array_flip($allowedColumns));
 
-$database->query('INSERT INTO users', $values);
+// Odstraníme všechny nepovolené sloupce ze vstupu
+$data = array_intersect_key($_POST, $allowedColumns);
+
+// ✅ Nyní můžeme bezpečně použít v dotazech, jako například:
+$database->query('INSERT INTO users', $data);
+$table->update($data);
+$table->where($data);
 ```