ciao a tutti, questo thread molto probabilmente non dovrebbe stare qui, ma non so dove metterlo.
i miei utenti possono inserire commenti, thread e pagine personali. possono usare tutti i tag html e javascript.
il codice lo inseriscono nel database tramite una form e verrebbe richiamato in una pagina dinamica.
corro qualche rischio? è possibile far danni inserendo codice JS?
che succede se inseriscono codice php o di altri linguaggi di programmazione?
o peggio che succede se inseriscono codice mysql???
per inserire questi testi uso una query di questo tipo:
sarebbe possibile per un malintenzionato inserire codice mysql che possa crear danni?Codice PHP:$insertSQL = sprintf("INSERT INTO blogentry (blog_num, UTENTE, BODY, TITOLO, ANTEPRIMA, ARGOMENTO, KWORD) VALUES (%s, %s, %s, %s, %s, %s, %s)",
GetSQLValueString($inc, "int"),
GetSQLValueString($row_rsut['NICK'], "text"),
GetSQLValueString($_POST['TESTO'], "text"),
GetSQLValueString($_POST['TITOLO'], "text"),
GetSQLValueString($_POST['ANTEPRIMA'], "text"),
GetSQLValueString($_POST['ARGOMENTO'], "text"),
GetSQLValueString($_POST['KWORD'], "text"));
mysql_select_db($database_cnblogdb, $cnblogdb);
$Result1 = mysql_query($insertSQL, $cnblogdb) or die(mysql_error());
Rispondi quotando