controllo campi form

[gpgiampo]

ri-ciao ragazzi....
mi trovo di fronte alla necessità di dover validare dei form.....
dilemma:

per rendere più sicuro il tutto, è meglio utilizzare delle funzioni di controllo in php(e di conseguenza affrontare un nuovo caricamenteo della pagina affinchè avvenga la validazione),
oppure creare delle funzioni javascript per il controllo dei form e utilizzare le funzioni php solo dove necessario( es. controllo esistenza di un user in un db)??????

[drAlberT]

il JS lo usi per aumentare l'usabilità... fai tutti i controlli ed eviti all'utente di reloadare (e ti risparmi pure banda)

ripeti poi tutti i controlli necessari in PHP! e qui li fai in modo scrupoloso, se falliscono logghi tutto come tentativo di hacking (sempre che quelli in JS siano stati scrupolosi altrimenti ti trovi pieno di falsi allarmi):-)

[gpgiampo]

grazie drAlbert...


non basterebbe rendere scrupolosi (impedire l'inserimento di qualsiasi tag o caratte che possa creare un'eventuale query - o quant'altro -) con un js esterno???

pensi che nn offra una buona sicurezza????

[Braco]

Originariamente inviato da drAlberT
il JS lo usi per aumentare l'usabilità... fai tutti i controlli ed eviti all'utente di reloadare (e ti risparmi pure banda)

ripeti poi tutti i controlli necessari in PHP! e qui li fai in modo scrupoloso, se falliscono logghi tutto come tentativo di hacking (sempre che quelli in JS siano stati scrupolosi altrimenti ti trovi pieno di falsi allarmi):-)

Ho letto la tua risposta e mi interessa perchè anche io ho questo problema, devo proprio mettere i controlli php a questo file, mi aiuti?

Tieni presente che questa parte di file "dovrebbe" bloccare totalmente l'accesso in ogni campo a colui che ha bypassato le protezioni js...non mi esce nemmeno l'alert.

<?php

include("config.php");



$_POST["nome"] = trim(strip_tags ($_POST["nome"]));
$_POST["email"] = trim(strip_tags ($_POST["email"]));
$_POST["url"] = trim(strip_tags ($_POST["url"]));
$_POST["citta"] = trim(strip_tags ($_POST["citta"]));
$_POST["messaggio"] = trim(strip_tags ($_POST["messaggio"]));




$errore=false;
if (isset($_POST["nome"])):
if ($_POST["nome"]==""):
$errore=true;
else:

if (substr($_POST["nome"],0,1)=="\\"."<".">"):
$errore=true;
endif;
endif;
else:
$errore=true;
endif;

if (isset($_POST["messaggio"])):
if ($_POST["messaggio"]==""):
$errore=true;
else:

if (substr($_POST["messaggio"],0,1)=="\\"."<".">"):
$errore=true;
endif;
endif;
else:
$errore=true;
endif;

if ($errore):
$tab_ins="





<tr><td align=\"center\"><font face=\"arial\" size=\"6\" color=\"red\">HAI BY-PASSATO GLI ALERT JS!!</font>

<font face=\"arial\" size=\"5\" color=\"red\">Compila il form correttamente!

<img src=\"soldato.gif\"></font></td></tr>";
$meta="<META http-equiv=\"REFRESH\" content=\"3; url=http://www.xx.it/guestbook/form.php\">";