Campi memo e sicurezza

**marviv** · 20-11-2005, 15:21

Ciao a tutti.
Ho scoperto (da buon principiante in quanto non penso sia una novità per molti di voi...) che il testo inserito in un campo "textarea" di un form e quindi memorizzato in un campo memo di un db Access è soggetto a formattazione html.
Cioè gli "a capo" normali utilizzati durante l'immissione del testo nel form non vengono recepiti, ma è necessario inserire dei
affinchè il testo venga visualizzato in modo corretto.
Questo potrebbe non essere molto importante, ma "a pelle" ho il timore che, dal punto di vista della sicurezza non sia il massimo: in altri termini se in un campo memo inserisco delle istruzioni html potrei rischiare qualcosa...
Qualcuno di voi mi può suggerire come aggirare il problema ?

Grazie

**fraude** · 20-11-2005, 20:12

Non puoi aggirarlo e poi perchè temi problemi di sicurezza?

**Mems** · 20-11-2005, 20:15

Si fa così:

codice:

' quando salvi i dati sul db
testo = server.HTMLEncode(request.form("nomeCampoForm"))
' poi usi la variabile testo per salvare i dati sul db

' quando leggi i dati per visualizzarli...
testo = rs("campoTabellaDB")
testo = replace(testo,vbCrLf,"
")
' poi fai un response.write di testo...

**Mems** · 20-11-2005, 20:18

Originariamente inviato da fraude
Non puoi aggirarlo e poi perchè temi problemi di sicurezza?

Perchè se nella textarea qualcuno ci scrive del codice javascript quando poi questo codice finisce sulla pagina viene eseguita dal browser, a meno che non si prende l'accortezza di salvare i dati passandoli prima dalla proprietà HTMLEncode dell'oggetto Server.

**marviv** · 21-11-2005, 11:13

Grazie per le info.

Discussione: Campi memo e sicurezza

Strumenti discussione

Ricerca discussione

Visualizza

Campi memo e sicurezza

Permessi di invio