Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 9 su 9

Discussione: Evitare codice HTML?

  1. 29-02-2008, 10:25 #1
    teju
    teju non è in linea
    Utente di HTML.it L'avatar di teju
    Registrato dal
    Jun 2002
    Messaggi
    946
    Invia un messaggio tramite ICQ a teju

    Evitare codice HTML?

    Ciao gente, di sicuro se n'è già parlato, ma non sono riuscito a trovare nulla facendo una search...
    Ho una form con la possibilità di inserire una descrizione.
    Mettiamo che l'utente mal intenzionato inserisca dentro codice HTML che richiami script o simili dannosi... Come faccio ad impedire che il testo contenga appunto HTML o Java vari?

    Thanks
    .: Teju.it - Una vita da raccontare
    .: 8s8.it - Wordpress gratis per tutti
    .: Vado.li - Accorcia URL
    Rispondi quotando Rispondi quotando
  2. 29-02-2008, 10:48 #2
    Samleo
    Samleo non è in linea
    Utente di HTML.it L'avatar di Samleo
    Registrato dal
    Nov 2005
    Messaggi
    1,848
    O fai tanti ereg_replace...oppure una funzioncina che ti strippa le stringhe...
    Rispondi quotando Rispondi quotando
  3. 29-02-2008, 11:22 #3
    fcaldera
    fcaldera non è in linea
    Frontend samurai L'avatar di fcaldera
    Registrato dal
    Feb 2003
    Messaggi
    12,924
    http://it.php.net/strip_tags
    http://it.php.net/manual/it/function...ecialchars.php
    Vuoi aiutare la riforestazione responsabile?

    Iscriviti a Ecologi e inizia a rimuovere la tua impronta ecologica (30 alberi extra usando il referral)
    Rispondi quotando Rispondi quotando
  4. 29-02-2008, 11:48 #4
    ecmedia
    ecmedia non è in linea
    Utente di HTML.it L'avatar di ecmedia
    Registrato dal
    Feb 2008
    Messaggi
    722
    O anche htmlentities().
    Il mio Portfolio
    Il mio Blog
    Localando.it
    Rispondi quotando Rispondi quotando
  5. 29-02-2008, 12:40 #5
    thitan
    thitan non è in linea
    Utente di HTML.it L'avatar di thitan
    Registrato dal
    Feb 2001
    Messaggi
    716
    si bhè.. qualunque soluzione usi, poi fai un giro su
    http://ha.ckers.org/xss.html
    e controlla che il tuo metodo funzioni con tutti gli esempi riportati..

    strip_tags() alcuni li lascia passare

    www.inter-rail.it     travellers, not tourist
    Is cuma cá mhinice a théann tú ar strae; is é is tábhachtaí gurb áil leat do bhealach a aimsiú arís.
    Rispondi quotando Rispondi quotando
  6. 29-02-2008, 12:45 #6
    MacApp
    MacApp non è in linea
    Utente di HTML.it L'avatar di MacApp
    Registrato dal
    Oct 2007
    Messaggi
    1,675
    Il punto non è tanto cercare d'impedire che ti cracchino il sito (se vogliono lo fanno punto), quanto permettere agli utenti non craccanti di inserire normalmente caratteri che in altri contesti potrebbero esseri interpretati come craccanti.

    p.s. son filosofico oggi.
    Rispondi quotando Rispondi quotando
  7. 29-02-2008, 12:54 #7
    thitan
    thitan non è in linea
    Utente di HTML.it L'avatar di thitan
    Registrato dal
    Feb 2001
    Messaggi
    716
    Originariamente inviato da MacApp
    Il punto non è tanto cercare d'impedire che ti cracchino il sito (se vogliono lo fanno punto), quanto permettere agli utenti non craccanti di inserire normalmente caratteri che in altri contesti potrebbero esseri interpretati come craccanti.

    p.s. son filosofico oggi.
    vero.. secondo me basta specificare che, a seconda del campo, uno può o non può inserire certi caratteri, e bom, l'utente poi si adatta..

    se nel campo nome, o email, mi ci metti '<', o sei pirla, o stai provando un injection

    www.inter-rail.it     travellers, not tourist
    Is cuma cá mhinice a théann tú ar strae; is é is tábhachtaí gurb áil leat do bhealach a aimsiú arís.
    Rispondi quotando Rispondi quotando
  8. 29-02-2008, 13:11 #8
    teju
    teju non è in linea
    Utente di HTML.it L'avatar di teju
    Registrato dal
    Jun 2002
    Messaggi
    946
    Invia un messaggio tramite ICQ a teju
    Originariamente inviato da ecmedia
    O anche htmlentities().
    eccola! Mi ricordavo qualcosa di simile ma non mi veniva in mente!
    .: Teju.it - Una vita da raccontare
    .: 8s8.it - Wordpress gratis per tutti
    .: Vado.li - Accorcia URL
    Rispondi quotando Rispondi quotando
  9. 29-02-2008, 13:12 #9
    teju
    teju non è in linea
    Utente di HTML.it L'avatar di teju
    Registrato dal
    Jun 2002
    Messaggi
    946
    Invia un messaggio tramite ICQ a teju
    Originariamente inviato da MacApp
    Il punto non è tanto cercare d'impedire che ti cracchino il sito (se vogliono lo fanno punto), quanto permettere agli utenti non craccanti di inserire normalmente caratteri che in altri contesti potrebbero esseri interpretati come craccanti.

    p.s. son filosofico oggi.
    Filosoficamente regge come discorso... ma mi sa ha ragione thitan che mettere un "<" in un campo nome o mail potrebbe sì esser un errore, ma solo allo 0,1%!
    .: Teju.it - Una vita da raccontare
    .: 8s8.it - Wordpress gratis per tutti
    .: Vado.li - Accorcia URL
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.