evitare inserimento di codice pericoloso..

[Stanislao]

salve amici..

oggi mi ponevo questo problema...
Dopo aver realizzato una Community pian pianino..grazie al vostro immenso aiuto .. non vorrei che qualcuno in 3 secondi
me la distrugge inserendo codici pericolosi nei form d'invio al db

come posso evitare le intrusioni di questi codici...

il primo punto da colpire potrebbe essere la registrazione...che io effettuo così..

codice:

rs.AddNew
rs("User") = Request.form("User")
rs("Password") = Request.form("Password")
rs("Email") = Request.form("Email")
rs("Nome") = Request.form("Nome")
rs("Cognome") = Request.form("Cognome")
rs("Telefono") = Request.form("Telefono")
rs("Sesso")= Request.form("Sesso")
rs("Foto")= Request.form("user")
rs("Stato_Sentimentale")= Request.form("Stato_Sentimentale")
giorno = request.form("giorno")
mese = request.form("mese")
anno = request.form("anno")
data = giorno & "/" & mese & "/" & anno
rs("Data_Nascita")= data
rs("Data_Iscrizione")=date()

rs.Update
rs.Close
set rs = Nothing
cn.Close
Set cn = Nothing
Response.redirect "ok.asp"

cosa si mette in genere per proteggere i database o quant altro?


grazie 23.000

[semolino]

Potresti crearti una funzione che nel caso in cui vengano inseriti determinati caratteri, il testo venga formattato e mostrato in maniera differente. Ad esempio nel caso io inserisca del codice html puoi fare in modo che tutto ciò che è compreso tra <> non venga inserito...

[Stanislao]

e come si fa? :master:

[semolino]

prova anche semplicemente cosi:
quando vai ad inserire il messaggio avrai

rs("Messaggio")=Server.HTMLEncode(Messaggio)

Messaggio lo recuperi dal campo del form, dove l'utente inserisce il testo.
COn questo elimini parzialmente il tuo problema.

[Stanislao]

ci avevo pensato ma poi mi codifica anche i caratteri accentati e vedrei cose del tipo &amp ...etc etc se potessi ovviare a questo sarebbe perfetto
si può associare qualcosa all'encode affinche visualizzi i caratteri speciali?

mille grazie e gentilissimamentedisponibilissimo!!!

[semolino]

Allora creati delle funzioni che eliminano i caratteri che vuoi tu, ad esempio:

Dim txt
txt="<html>questo è il mio testo cattvio</html>"
document.write(Replace(txt,"<>",""))
Otterrai:
questo è il mio testo cattivo /html

Capito il senso? Puoi fare le combianzioni che vuoi; in questo caso ho messo al posto di <> uno spazio ("")

Fai delle prove

[Stanislao]

ok ora provo un pò..grazie mille

[Mems]

Quello di cui hai paura tu si chiama SQL Injection nelle form i cui dati vengono passati ad una query SQL.
Se usi ADO per inserire e modificare allora isoli il problema.

[atreliu1]

Suggeriscono di sostituire il singolo apici con uno doppio...
serve anche questo?

[Mems]

Certo.