validare textbox e consentire testo html

[supermac]

Non ne vengo a capo, son proprio de coccio non ci arrivo.
Come faccio a permettere l'inserimento di codice html in un textbox senza disabilitare la validazione di pagina?

[pietro09]

della serie "voglio l'uovo e la gallina"

io permetto l'inserimento di qualunque carattere e perciò disabilito i controlli restrittivi nativi asp.net.
Dove sta il problema?

[djciko]

Intendi il controllo sicurezza Request Validation ? Non puoi credo, o l'una o l'altra.

[supermac]

vojo vojo vojo
viziatoMac

Ma voi state tranquilli anche disabilitando la validazione? Ma se raccomandano tutti di non disabilitare.... sono forse troppo influenzabile dai media?

[pietro09]

Molti scrivono cose corrette, ma altri scrivono sciocchezze.
Se qualcuno di mostra un solo esempio di "pericolosità", io sono pronto a cambiare idea.
Per il momento, in un form di inserimento dati, ho cura che si possano inserire questi caratteri:

<b>prova</b>'prova' "prova" \prova\

ed ho cura che vengano letti bene, non interpretati


ps. vedo che questo sito, scritto in php, permette l'inserimento di questi caratteri, senza problemi, e non mi risulta che sia "scoppiato" per il loro uso

[djciko]

hai paura che qualcuno ti faccia

SELECT * from utenti WHERE 1 = 1 ?

[djciko]

Comunque dipende anche dalla criticità del progetto che stai facendo.
Se stai facendo il sito della salumeria all'angolo, direi che puoi disabilitarla. Se stai facendo il sito dei carabinieri, il discorso cambia.

Non so se rendo l'idea...Come dice pietro, questo (html.it) è un portale telematico a livello nazionale con tantissimi utenti NERD, e non è mai accaduto nulla.

[pietro09]

Le versioni di Office di qualche tempo fa, mi obbligavano a crearmi un certificato fasullo per i miei stessi files nel mio computer

Va bene che le macro sono un po' pericolose, ma che sia trattato come pericoloso un file creato da me nel mio computer, è un po' comico

Con le versioni attuali di Office hanno risolto il problema, non la pericolosità delle macro.

Questo per dire che, se siamo collegati in rete, tutto è tendenzialmente pericoloso.

Comunque, fatemi un esempio di "pericolosità", che l'argomento mi sta interessando.

1) SELECT * from utenti WHERE 1 = 1 ? lo cassiamo, dato che usiamo i parametri
2) si presuppone che la gestione del database, oracle per esempio, sia fatta come si deve, cioè, l'utente che si connette ha i privilegi minimi per lavorare.

[djciko]

Comunque, fatemi un esempio di "pericolosità", che l'argomento mi sta interessando.

sono pippe mentali, io non credo che ci siano persone che si mettono a perdere tempo se non ne vale davvero la pena.
dipende da cosa si sta sviluppando e forse dalle politiche aziendali.

basta un minimo di architettura ed una programmazione ben fatta, percio' ripeto: che sito stai sviluppando, supermac ?

[supermac]

backend per l'inserimento dei contenuti in un sito semplice, niente di "sensibile" in effetti, però temo le sql injection (più che altro perchè non le conosco)... l'insert è fatto da un datasource sul lato aspx (metto già in conto che dovrò portarlo nel codebehind con i parametri per poter inserire html)

Non credo verrà mai nessuno di persona a perdere tempo a provare a forzare la mia pagina, però so che esistono bot che girano "bradi" e si attaccano dove trovano vulnerabilità... la mia pagina è accessibile solo con username e pwd quindi tecnicamente sarei già sereno però non si è mai sicuri.