ciao a tutti! ho un form dove la gente puo scrivere del testo. vorrei potessero usare codice html all interno del form per cambiare colore formattazione del testo ecc. peró voglio anche bloccare il php per evitare che venga hackerato il sito. come posso fare?
grazie
ciao
igor
Se il contenut viene visualizzato tramite http://www.php.net/echo o http://www.php.net/print è improbabile che il codice PHP anche se inserito venga eseguito. Comunque puoi utilizzare un'espressione regolare per rimuovere eventuali contenuti "pericolosi". Tieni presente che l'HTML non filtrato può essere sfruttato per attacchi XSS etc.
ciao!
grazie della risposta. volevo usare il comando echo. dato che sono ignorante in materia come posso fare a farlo in maniera sicura e filtrare l html? é complicato?
magari posso controllare se nel testo ci sono dei "blocchi speciali" e sostituirli con altro in modo da fare una specie di BBcode? é difficile?
grazie ciao
igor
qualcuno sa dirmi come faccio a trovare una stringa nel testo e sostituirla con qualcosaltro?
grazie mille..
dunque io ora sto sostituendo stringhe pericolose con il nulla, cioé le elimino dal testo...
$badstring = array("<?", "?>", "<?php", "mysql","query","$");
$goodstring = array("", "", "", "","","§");
$text = str_replace($badstring,$goodstring , $text);
cé dell altro che dovrei bloccare o togliere? anche dal punto di vista di html...
grzaie mille
igor
beh io direi che le cose che hai tolto servono a poco...
intanto per esempio le xss sono scritte in js, quindi io filtrerei in altro modo quello che gli utenti scrivono...
per esempio con htmlspecialchars() trasformi l' input dell' utente in html, così i caratteri speciali non vengono eseguiti...
"Un film è, o dovrebbe essere, più simile alla musica che non alla fiction. Dovrebbe essere una progressione di stati d'animo e sentimenti. Il tema, ciò che è dietro all'emozione, il significato: tutto viene dopo"
Stanley Kubrick
viao! grazie del consiglio.
sul manuale php dice questo:
La conversioni applicate sono:
'&' (e commerciale) diventa '&'
'"' (doppio apice) diventa '"' con ENT_NOQUOTES is not set.
''' (singolo apice) diventa ''' soltanto con l'impostazione di ENT_QUOTES.
'<' (minore) diventa '<'
'>' (maggiore) diventa '>'
queste poche cose bastano a proteggermi? cioé piazzando questo sono apposto o dovrei valutare anche altre cose?
grazie ancora
ciao
Permessi di invio
Rispondi quotando