Se da una querystring o da un form acquisisco dei dati senza filtrarli adeguatamente, ma non li stampo a video (per esempio faccio delle if di confronto o scrivo dei log su un file, ma nessun response.write della variabile), secondo voi ci possono essere problemi di sicurezza? L'unico caso che mi viene in mente è se includo nella pagina una pagina il cui nome lo prendo dalla querystring o dal form.
I dati passati via form o queryString possono essere manipolati dall'utente.
A seconda della destinazione di questi dati possono nascere diversi problemi di sicurezza.
Ad esempio, dati che devono essere trattati all'interno di istruzioni SQL possono essere manipolati in maniera tale da alterare la struttura della base dati e dei dati stessi nel database. Documentati sull'SQL Injection.
I controlli sui dati vanno sempre fatti, ad esempio, se ci si aspetta un dato di tipo numerico è opportuno verificare che esso sia effettivamente tale e quindi agire di conseguenza.
Permessi di invio
Rispondi quotando