Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 3 su 3
  1. 23-02-2008, 03:04 #1
    nixxo85 non è in linea
    Utente di HTML.it
    Registrato dal
    Aug 2007
    Messaggi
    170

    problema con form e caratteri

    salve a tutti ho unm problema al quanto singolare
    io vorrei che su di un forum di ricerca rimanesse nella text box il testo cercato ma a secondo dei caratteri li sostituisce con lo slash per esempio se certo monitor lcd 19" lui nella text box scrive monitor lcd 19\ il codice ve lo posto
    Codice PHP:
    $searchText=$_GET['search'];
    // codice che sputa la ricerca fuori
    ?>
    <form ACTION="search.php" method="get">
    <input TYPE="text" name="search" value="<?php echo $searchText;?>">
    <input type="submit" value="invia">
    </form>
    mi andrebbe bene se togliesse solo le virgolette e non mettesse gli slash
    grazie a tutti
    Rispondi quotando Rispondi quotando
  2. 23-02-2008, 13:09 #2
    punkrazio non è in linea
    Utente di HTML.it L'avatar di punkrazio
    Registrato dal
    Nov 2007
    Messaggi
    474
    come mai usi il metodo get e non post??
    BitJar - Il barattolo...ildebutto

    Achmed the dead terrorist
    Rispondi quotando Rispondi quotando
  3. 23-02-2008, 13:20 #3
    daniele_dll non è in linea
    Utente di HTML.it L'avatar di daniele_dll
    Registrato dal
    Nov 2002
    Messaggi
    12,436
    se ti mette gli slash sui valori GET e POST vuol dire che è attivato dal php.ini che è una cosa buona dato che molto spesso gli apici singoli e doppi non vengono controllati e vengono passati cosi come sono alle query permettendo le cosi dette SQL Injection!

    Per risolvere il tuo problema, ESCLUSIVAMENTE al momento della visualizzazione, utilizzi stripslashes ( www.php.net/stripslashes )

    la riga
    <input TYPE="text" name="search" value="<?php echo $searchText;?>">

    diventa
    <input TYPE="text" name="search" value="<?php echo stripslashes($searchText);?>">

    Inoltre considera che l'eventuale inserimento in quel campo di un valore tipo
    "><script src="malicious/script.js" type="text/javascript"></script><input type="hidden

    trasformerebbe quella la riga del form in
    <input TYPE="text" name="search" value=""><script src="malicious/script.js" type="text/javascript"></script><input type="hidden">

    che come puoi ben vedere potrebbe benissimo richiamare uno script o potrebbe direttamente iniettare codice javascript!

    richiamare l'url tipo
    http://sub.domain.ext/path/to/page.p...t type="hidden

    farebbe lo stesso effetto!

    quindi se per esempio tu sei loggato tramite le sessioni di php io posso leggere i tuoi cookie e settarmi nel mio browser con il risultato che la tua sessione la andrei ad utilizzare anch'io avendo accesso dove hai accesso tu che nel caso dell'ammiinstratore significa che ho accesso a tutto

    Se il codice malevolo recuperasse i cookie e tramite una xmlhttprequest li prende e li spedisce a me succede un gran bel patacrack!

    Ovviamente sta li a te di non cliccare sull'indirizzo che ricevi cosi ... però permane che è molto pericoloso!

    Dovresti quindi usare i POST, innanzi tutto, per evitare questo tipo di problemi, e poi direi che una passata con strip_tags non nuocerebbe

    http://it.php.net/stripslashes
    http://it.php.net/strip_tags
    VM su SSD da 5$! https://www.digitalocean.com/?refcode=f6925c7f0ddb
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.