per proteggere un'area di login da sql injection, xss ecc ecc che metodologia usate?
addslashes,magic_quotes_gpc,mysql_real_escape_stri ng(),mysql_escape_string(),trim,strip_tags,htmlspe cialchars ecc ecc?
per proteggere un'area di login da sql injection, xss ecc ecc che metodologia usate?
addslashes,magic_quotes_gpc,mysql_real_escape_stri ng(),mysql_escape_string(),trim,strip_tags,htmlspe cialchars ecc ecc?
Per una battaglia sono sempre a disposizione
un semplice mysql_real_escape_string prima di fare la query sul db e naturalmente confronto la firma della password dopo averla crittografata per non scriverla in chiaro nel db...
« Se nella prima mezz'ora non capisci chi è il pollo, allora il pollo sei tu. » [Thomas "Amarillo Slim" Preston, campione del mondo di poker]
si, era sottointeso il controllo della password crittografata, però quindi tu usi solo mysql_real_escape_string?
Non conviene usare anche trim per eliminare errori di scrittura dell'utente come lo spazio?
Poi, addslashes aggiunge \ prima di ', ", \ e byte null, mentre mysql_real_escape_string su quali caratteri effettua l'escape? Sono solo questi? \x00, \n, \r, \, ', " and \x1a?
Riguardo addslashes ho letto che è una funzione vulnerabile...che ne pensate?
mysql_real_escape_string da solo elimina anche il problema dei cross site scripting?
Non bisogna usare anche strip_tags per eliminare i vari tag html e php?
Non si potrebbe usare htmlspecialchar al posto di strip_tags?
Ad esempio, tu king size slim, come creeresti il filtraggio dei dati per un login con user e pass presi dall'array $_POST?
(Tralasciando la parte delle sessioni virtuali del db o cookie o session che siano)
grazie
Per una battaglia sono sempre a disposizione
up
Permessi di invio
Rispondi quotando