ciao a tutti...ho tanti dubbi...e tanta paura...
Purtroppo sul mio progetto non faccio controlli sicuri su quello che mi viene passato.
mi sono letto tutta la guida sulla sicurezza
http://php.html.it/guide/leggi/121/g...urezza-di-php/
ma non riesco a fare qualcosa di concreto.
quello che piu mi spaventa e' il crosssite-scripting
http://php.html.it/guide/lezione/298...scripting-xss/
purtroppo non riesco a simulare la stessa situazione sul mio progetto e non capisco.
dunque :
per prova....ho fatto una pagina stupidissima cosi
Codice PHP:<?php
echo $_REQUEST['prova'];
?>
accedendo tramite url in questo modo :
[url]http://miosito/miapagina.php?prova=[/url]<script>alert(document.cookie);</script>
il discorso fila....
ora...nelle mie pagine non vado a stampare direttamente la variable come sopra....
Io scrivo
if(isset($_REQEUST['prova'])){
$prova = $_REQUEST['prova'];
}
poi nel mio programma uso $prova opportunamente per quello che devo fare....
in questo caso non capisco proprio perche il dannato alert non salti fuori...
vorrei imparare a difendere il codice da questi possibili attacchi....
che ne so ...so che e' possibile passare una stringa all'input che magari chiude il parser php e mi apre quello javascript....ma non so come cavolo scriverlo.
Quindi chiedo aiuto. Non vorrei tanto sapere come fare il danno quanto a prevenirlo....
Per prevenire tutti questi attacchi basta usare htmlspecialchars????
[url]http://it2.php.net/manual/it/function.htmlspecialchars.php[/url]
devo fare altri controlli??? concentriamoci solo all'url e agli input...
Spero che qualcuno sia gentile da aiutarmi con chiarezza perche sono un novellino.
grazie
Rispondi quotando