sicurezza in un sito web e sql injection

[lorenzo84]

ok capito, giusta osservazione... ma se uso questo script?

http://www.webtoolkit.info/javascript-md5.html

il mio problema è che non conoscendo javascript non so come risolvere. guardo se riesco a spiegarmi...

io cripto lato client la password con questo script e poi come faccio a inserirla nel form in modo che nella pagina lato server arrivi in POST ?

però come faccio poi a recuperare la pass in php? devo levare la codifica successiva in md5 prima di arrivare al db?

sono riuscito a passarmi la pass in md5 dal client alla pagina sul server ma non capisco ora come andare avanti perchè se la ricodifico è ovviamente diversa dal db ma se non la ricodifico sono punto e a capo.... help...

[lorenzo84]

nessuno?

[Alhazred]

Quando un utente si registra inserisce username e password, la password nel db ce la metti criptata.

In questo modo quando effettui il login fai direttamente il confronto tra la password che arriva criptata e quella che si trova nel db.

[sitodue]

Mi inserisco da profano in questa discussione che trovo molto interessante per chiedere se con i nuovi tag dell'html5 molti di questi problemi saranno risolti a priori...
Cioè nel momento in cui all'interno dei campi di testo io posso specificare di accettare solo i valori {a-z;0-9} gran parte dei problemi dell'sql injection dovrebbero esseri risolti.. o sbaglio?

Edit: Anche se forse effettivamente è solo uno spostamento del problema dal codice php al codice html....

[Alhazred]

Originariamente inviato da sitodue
Mi inserisco da profano in questa discussione che trovo molto interessante per chiedere se con i nuovi tag dell'html5 molti di questi problemi saranno risolti a priori...
Cioè nel momento in cui all'interno dei campi di testo io posso specificare di accettare solo i valori {a-z;0-9} gran parte dei problemi dell'sql injection dovrebbero esseri risolti.. o sbaglio?

Edit: Anche se forse effettivamente è solo uno spostamento del problema dal codice php al codice html....

Lato PHP i controlli andranno sempre fatti, i linguaggi lato client e il browser possono sempre essere ingannati.
Ad esempio si può fare un controllo Javascript sui dati inseriti in un form, ma se io disabilito Javascript ecco che i controlli non vengono effettuati e posso scrivere nel form quello che mi pare.
I controlli lato client servono solo per gli utenti onesti, per evitare che per distrazione facciano arrivare dati sbagliati al server, non per evitare che un malintenzionato inserisca volutamente del codice malevolo.

Allo stesso modo i tag html non serviranno a risolvere il problema dei malintenzionati, lato server i controlli vanno SEMPRE fatti.

[lorenzo84]

eccomi di nuovo... Vi chiedo una cosa che mi fa impazzire. Come gestire i caratteri speciali sia nel db che poi nella visualizzazione? ad esempio le virgolette o l'apice?