Ciao a tutti!
Vi scrivo per essere rassicurato.
Devo inserire dei dati in un Db MySQL.
Volevo sapere se è sufficiente prima dell'inserimento processare i dati con mysql_escape_string.
In questo modo sono sicuro che i dati vengano inseriri nel mio db?
O rischio che alcuni caratteri non vengano inseriti con relativo errore nel mio INSERT?
Grazie per le informazioni
Ciao
Stefano
E' sufficiente, se per sufficiente intendi solo la sicurezza che tutti i caratteri vengano inseriti nel DB. A livello di sicurezza del software invece non basta; ti conviene controllare sempre che i dati passati siano realmente nella forma in cui te li aspetti (ammesso che siano dati che vengono passati da moduli compilati dagli utenti, o che comunque arrivino "dall'esterno". Se invece sono dati ottenuti dall'applicazione stessa attraverso calcoli e elaborazioni che non dipendono da fattori esterni, allora hai gia questa sicurezza).
Ad esempio, se un dato deve essere di tipo numerico devi controllare che sia davvero un numero; se una stringa deve poter contenere soltanto alcuni caratteri particolari (esempio: una username che magari può contenere solo lettere e numeri) devi controllare che realmente non contenga nessun altro carattere; se una stringa deve essere formattata in modo particolare (es.: un indirizzo e-mail o una data come GG-MM-AAAA) devi controllare che sia realmente così, ecc. ecc. ecc.
Si si ,per questo sono in "regola".
I dati vengono passati da una pagina Php controllata da funzioni JavaScript; quindi i dati nella pagina di destinazione sono corretti.
Il mio dubbio era proprio sul fatto dell'inserimento dati nel DB.
Mi hai risolto un bel dubbio.
Grazie per l'aiuto
Ciao
Stefano
no, non basta. i controlli in JavaScript servono soltanto per poter visualizzare dei messaggi all'utente nel caso qualche dato non rispetti i formati stabiliti, però non devono mai essere presi come base della sicurezza dell'applicazione. scavalcare i controlli JavaScript è semplicissimo per chiunque, basta disabilitare il JavaScritp sul browser.... per avere la sicurezza devi controllare i dati attraverso PHP.Originariamente inviato da Lunasx
Si si ,per questo sono in "regola".
I dati vengono passati da una pagina Php controllata da funzioni JavaScript; quindi i dati nella pagina di destinazione sono corretti.
Ok, grazie per l'informazione (a me sconosciuta).
Cmq i miei dati vengono spediti solamente dopo un check di Javascript.
l' href viene lanciato proprio da JS.
Immagino che disabilitando il JS da Browser anche il form non venga spedito.
Che dici?
Grazie per i preziosi consigli e per la pazienza
Stefano
Sì, se il submit del form viene gestito da JavaScript, allora questo non viene spedito se il JS è disabilitato. Però è comunque semplicissimo scavalcare anche questo: basta controllare un po' il codice HTML della pagina, trovare l'URL della pagina PHP alla quale il form porta, trovare i nomi dei campi del form e costruire un URL che passi i dati con metodo GET. Così il JS non interviene più ed un utente malintenzionato può fare quello che vuoleOriginariamente inviato da Lunasx
Immagino che disabilitando il JS da Browser anche il form non venga spedito.
Che dici?
Però, non male.....
Quindi immagino che la preferenza stia nel controllo totale con PHP ed escludere i controlli lato Client, giusto?
Sì giusto. I controlli lato client vanno bene soltanto se sono finalizzati a dare informazioni all'utente, ad esempio per comunicargli che l'indirizzo e-mail che ha digitato in un modulo non è nella forma corretta o altre informazioni di questo tipo. Ma per far sì che l'applicazione sia sicura è indispensabile controllare ogni dato da PHP.
Grazie mille.
Mi hai dato delle informazioni preziose.
Ciao
Stefano
Permessi di invio
Rispondi quotando