ciao a tutti, volevo avere qualche consiglio di sicurezza. vi spiego come sto sviluppando così che potete darmi dei consigli.
login e protezione pagine
i dati da form email e password le passo ad una pèagina che si occupa di controllare a db l'esistenza dei dati, nel caso posistivo questi dati vengono registrati in sessione per poter all'interno delle pagine protette essere controllati a db ogni volta che viene ricaricata la pagina oppure entrati in' unaltra. Il risultato della queery a db più il controllo di registrazione della sessione avviene tramite un ciclo if se positivo visualizza i dati altrimenti header verso la login più un exit. Le password sono salvate in doppio md5.
trattamento dei dati
tutti i dati da form o passati in get vengono passati a questa funzione
function pulisci($testo)
{
$testo = preg_replace ("'<script[^>]*?>.*?</script>'si", "", $testo);
$testo = preg_replace ("'<head[^>]*?>.*?</head>'si", "", $testo);
$tag_abilitati = "br|b|i|p|u|strong|em";
$testo = preg_replace ("/<((?!\/?($tag_abilitati)\b)[^>]*>)/xis", "", $testo);
$testo = preg_replace ("/<($tag_abilitati).*?>/i", "<\\1>", $testo);
$testo = htmlentities ($testo);
return $testo;
}
che ne rimuove eventuali tag potenzialmente dannosi per il sistema.
In tutte le query tramite variabile numerica la variabile viene anteposta da (int)
Registrazione
alla fine della form di registrazione uso il captcha e prima del codice di registrazione ho messo un controllo di provenienza dei dati.
al momento non mi viene in mente altro.
Grazie
Rispondi quotando
