campi input con bug per hacker?come evitare?

[tntgiallo]

Faccio un esempio, se creo un classico guestbook la lista dei commenti lasciati, e la possibilita di lasciare commenti, quindi con due campi, uno nome e uno commenti.
Lasciando inserire all'utente qualiasi commento rischio che qualcuno mi inserisca il tag <script><script> e mi buchi il sito.

per esempio se mi inseriscono come commento:
<script>windows.open("apertura sito");</script>
nella pagina dove visualizzo i commenti mi troverei che mi reloda sempre su un altra pagina.

Non é una situazione insolita, anzi secodno me puo capitare in tutti gli inserimenti, voi come l'avete controllata?

[VaLvOnAuTa]

[supersaibal]Originariamente inviato da tntgiallo
Faccio un esempio, se creo un classico guestbook la lista dei commenti lasciati, e la possibilita di lasciare commenti, quindi con due campi, uno nome e uno commenti.
Lasciando inserire all'utente qualiasi commento rischio che qualcuno mi inserisca il tag <script><script> e mi buchi il sito.

per esempio se mi inseriscono come commento:
<script>windows.open("apertura sito");</script>
nella pagina dove visualizzo i commenti mi troverei che mi reloda sempre su un altra pagina.

Non é una situazione insolita, anzi secodno me puo capitare in tutti gli inserimenti, voi come l'avete controllata? [/supersaibal]

htmlspecialchars() è un buon inizio

[tntgiallo]

[supersaibal]Originariamente inviato da VaLvOnAuTa
htmlspecialchars() è un buon inizio [/supersaibal]

cosi facendo cosa eviti? ti va di spiegarti meglio?

[pikkio74]

[supersaibal]Originariamente inviato da tntgiallo
cosi facendo cosa eviti? ti va di spiegarti meglio? [/supersaibal]

Meglio della documentazione ufficiale non te lo spiega nessuno

http://www.php.net/manual/it/functio...ecialchars.php

[VaLvOnAuTa]

[supersaibal]Originariamente inviato da tntgiallo
cosi facendo cosa eviti? ti va di spiegarti meglio? [/supersaibal]

Ti trasforma tutti i caratteri "pericolosi" (< > per esempio) nel loro corrispettivo codice html & lt; mi pare.

[tntgiallo]

[supersaibal]Originariamente inviato da pikkio74
Meglio della documentazione ufficiale non te lo spiega nessuno

http://www.php.net/manual/it/functio...ecialchars.php

[/supersaibal]

ho capito cosa fa quella funzione, trasforma caratteri come:
'<' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'
quindi se uno inserisce
<script> verra salvato come &ltscript&gt
quindi fa una specie di codifica diversa, evitandomi di salvare caratteri particolari sul mio hosting.

ho capito bene?

[pikkio74]

[supersaibal]Originariamente inviato da tntgiallo
ho capito cosa fa quella funzione, trasforma caratteri come:
'<' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'
quindi se uno inserisce
<script> verra salvato come &ltscript&gt
quindi fa una specie di codifica diversa, evitandomi di salvare caratteri particolari sul mio hosting.

ho capito bene? [/supersaibal]

SiSi

[VaLvOnAuTa]

[supersaibal]Originariamente inviato da tntgiallo
ho capito cosa fa quella funzione, trasforma caratteri come:
'<' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'
quindi se uno inserisce
<script> verra salvato come &ltscript&gt
quindi fa una specie di codifica diversa, evitandomi di salvare caratteri particolari sul mio hosting.

ho capito bene? [/supersaibal]

In pratica fa interpretare al browser i caratteri speciali (appunto < e >) come semplici caratteri e quindi evita che il browser li interpreti come delimitatori di un tag html.

[RokStar]

Puoi usare anche strip_tags.
http://it2.php.net/strip_tags