validare textbox e consentire testo html

[supermac]

Non ne vengo a capo, son proprio de coccio non ci arrivo.
Come faccio a permettere l'inserimento di codice html in un textbox senza disabilitare la validazione di pagina?

[pietro09]

della serie "voglio l'uovo e la gallina"

io permetto l'inserimento di qualunque carattere e perciò disabilito i controlli restrittivi nativi asp.net.
Dove sta il problema?

[djciko]

Intendi il controllo sicurezza Request Validation ? Non puoi credo, o l'una o l'altra.

[supermac]

vojo vojo vojo
viziatoMac

Ma voi state tranquilli anche disabilitando la validazione? Ma se raccomandano tutti di non disabilitare.... sono forse troppo influenzabile dai media?

[pietro09]

Molti scrivono cose corrette, ma altri scrivono sciocchezze.
Se qualcuno di mostra un solo esempio di "pericolosità", io sono pronto a cambiare idea.
Per il momento, in un form di inserimento dati, ho cura che si possano inserire questi caratteri:

<b>prova</b>'prova' "prova" \prova\

ed ho cura che vengano letti bene, non interpretati


ps. vedo che questo sito, scritto in php, permette l'inserimento di questi caratteri, senza problemi, e non mi risulta che sia "scoppiato" per il loro uso

[djciko]

Comunque dipende anche dalla criticità del progetto che stai facendo.
Se stai facendo il sito della salumeria all'angolo, direi che puoi disabilitarla. Se stai facendo il sito dei carabinieri, il discorso cambia.

Non so se rendo l'idea...Come dice pietro, questo (html.it) è un portale telematico a livello nazionale con tantissimi utenti NERD, e non è mai accaduto nulla.

[djciko]

hai paura che qualcuno ti faccia

SELECT * from utenti WHERE 1 = 1 ?

[pietro09]

Le versioni di Office di qualche tempo fa, mi obbligavano a crearmi un certificato fasullo per i miei stessi files nel mio computer

Va bene che le macro sono un po' pericolose, ma che sia trattato come pericoloso un file creato da me nel mio computer, è un po' comico

Con le versioni attuali di Office hanno risolto il problema, non la pericolosità delle macro.

Questo per dire che, se siamo collegati in rete, tutto è tendenzialmente pericoloso.

Comunque, fatemi un esempio di "pericolosità", che l'argomento mi sta interessando.

1) SELECT * from utenti WHERE 1 = 1 ? lo cassiamo, dato che usiamo i parametri
2) si presuppone che la gestione del database, oracle per esempio, sia fatta come si deve, cioè, l'utente che si connette ha i privilegi minimi per lavorare.

[djciko]

Comunque, fatemi un esempio di "pericolosità", che l'argomento mi sta interessando.

sono pippe mentali, io non credo che ci siano persone che si mettono a perdere tempo se non ne vale davvero la pena.
dipende da cosa si sta sviluppando e forse dalle politiche aziendali.

basta un minimo di architettura ed una programmazione ben fatta, percio' ripeto: che sito stai sviluppando, supermac ?

[U235]

Comunque, fatemi un esempio di "pericolosit�", che l'argomento mi sta interessando.

Ciao Pietro,
ad esempio si potrebbe far entrare nel codice uno script con un ciclo continuo che chiama (magari tramite ajax) un indirizzo specifico mandando in sovraccarico quella risorsa (che sia interna o esterna) ogni volta che un client carica e rimane sulla tua pagina "manipolata" (che continuerà incessantemente a chiamare la risorsa tramite ajax in tutti i client), facendo di fatto un attacco ddos tramite tutti i tuoi utenti (con il loro IP).
In realtà queste cose io non le faccio di sicuro, ma credo sia in linea teorica molto probabile se non metti un qualche tipo di blocco sull'input o in output.