[PHP e Codice Malevolo] Viene prima l'esecuzione di un codice, o una regExp?

**wartpro** · 01-06-2011, 00:03

Salve a tutti,

stavo riflettendo su una cosa e volevo sapere il vostro prezioso parere per un chiarimento.

Dato uno script php che controlla ad esempio una input/text come nell'esempio:

Codice PHP:


<?php



$input = $_POST['input'];



if (isset($_POST['tasto_di_invio'])) {



   if (!preg_match('/[a-zA-Z]+/', $input)) { // E' permesso solamente del testo "normale"..



   echo ("Ehi ehi..inserisci solamente caratteri..");



   }

}

?>

Pensavo..

..ma se un tizio invia un codice javascript malevolo nell'input...questi, verrà rifiutato perchè non rispetta l'espressione regolare, OPPURE verrà eseguito E POI verrà mostrato il messaggio di errore?

Grazie a tutti.

**simo22** · 01-06-2011, 07:09

Se il codice non lo mostri o comunque non lo esegui (se è sql) non ci sono problemi con il tuo codice, ti basta mettere un else dopo l'if del preg_match.

**Jekkil** · 01-06-2011, 08:51

il codice javascript viene eseguito lato client.

Lo script viene eseguito lato server.

Quando stai eseguendo lo script, e quindi controlli ciò che l'utente ha inserito, un eventuale codice javascript è solo una semplice stringa che non ha nessun potere.

Acquista potere solo quando lo stampi eventualmente a video!

Ma se tu controlli la stringa e trovi un errore e stampi a video un messaggio d'errore non c'è nessun problema, perchè, come dicevamo prima, il codice javascript è eseguito lato client!

**wartpro** · 01-06-2011, 21:05

Grazie ragazzi. Sopratutto grazie Jekkil per la tua risposta: era esattamente la risposta che desideravo ricevere

**k.b** · 01-06-2011, 21:24

Comunque, per la cronaca, quella regexp NON FA quanto scritto nel commento.

**wartpro** · 01-06-2011, 21:38

Come no...e questa?

Codice PHP:


!preg_match('#^[a-zA-z]+$#i', $input)

**Jekkil** · 01-06-2011, 21:54

dipende

cosa vuoi controllare con quell'espressione regolare?

**wartpro** · 01-06-2011, 21:56

Che vengano inserite solamente lettere dalla A alla Z (maiuscole e minuscole).

(Essendo consapevole che tutto il resto verrà rifiutato: lettere accentate, numeri, simboli, ecc.)

**Jekkil** · 01-06-2011, 22:05

allora se ricordo bene è ok, ma l'ho provata e funziona.

Solo due cosette:
1) se metti a-zA-Z non serve che poi metti i
2) in questo modo se ci sono degli spazi non te li accetta..

**wartpro** · 01-06-2011, 22:06

Si infatti correggerò la "i"

Per gli spazi...no...non li voglio

Grazie Jekkil

Discussione: [PHP e Codice Malevolo] Viene prima l'esecuzione di un codice, o una regExp?

Strumenti discussione

Ricerca discussione

Visualizza

[PHP e Codice Malevolo] Viene prima l'esecuzione di un codice, o una regExp?

Permessi di invio