ciao a tutti!!!
ho quasi finito di costruire un sito... vorrei però proteggerlo e renderlo sicuro..
leggendo su internet ho visto che bisogna stare attenti a qualunque input
quindi url e form... per renderlo sicuro ho letto che bisogna filtrare i dati..
ma se io converto ogni input in entità html ho reso sicuro il sito?? o ci sono altri tipi di attacchi... e quali???
Convertendo in entità html hai già fatto un passo avanti nel rendere più sicuro l'applicazione. Detto questo, esistono molte altre vulnerabilità delle quali tenere conto. Ma bisognerebbe sapere come è fatto il sito.
Ad esempio se vi sono delle inclusioni dinamiche, quello è un punto sul quale fare attenzione.
Se i dati sono salvati nel database bisognerebbe fare un escape delle stringhe, magari con mysql_real_escape_string.
Se utilizzi i database, la peggiore minaccia sono le sql injection. Ti consiglio quindi di leggere questo articolo
http://php.html.it/articoli/leggi/89...sql-injection/
Ma comunque, senza sapere come è composta la tua applicazione, non saprei cosa dire d'altro
PHP LEARN - Guide, tutorial e articoli sempre aggiornati
NUOVO: standardLib; il potente framework PHP é ora disponibile
*******************************************
Scarica oggi la tua copia di MtxEventManager
ma se converto in entità html l'injection non l'ho già schivato???
le inclusioni dinamiche cosa sono???
comunque si, faccio uso di databse... che informazioni ti servono riguardo il mio sito per dirmi che vulnerabilità può avere?
perchè trasformando in entità html i monoapici verranno cambiati e non si potrà modificare la query sql, così si evita l'injection... o sto dicendo un eresia??
poi al limite con mysql_real_escape_string non si può proteggersi??
Permessi di invio
Rispondi quotando