Funzioni di sicurezza che non vanno

**Ophy94** · 27-08-2010, 19:39

Ciao a tutti, mentre scrivo il codice PHP e includo alcuni caratteri per controllare che l'input dell'utente non abbia caratteri html,apici ecc...
Quando però testo il codice è come se queste funzioni per la protezione non ci fossero....
Qualcuno di voi può aiutarmi?
Ecco un esempio di codice vulnerabile :
<form action = "cerca.php" method = GET>
<input type = "text" name = "search">
<input type = "submit" value = "cerca">
<?php
$cerca = htmlentities($_GET['search']);
echo "Parola cercata : $cerca";

?>

**Samleo** · 27-08-2010, 21:23

Intanto devi controllare se la variabile va ad agire su un database.

Seconda cosa dovresti in qualche modo evitare di lasciare "liberi" gli apici.

Altra cosa, che cosa ti aspetti che esca da quello script, per poter dire che è sicuro?

**Ophy94** · 28-08-2010, 00:52

Questa script deve solo stampare a video la variabile scritta.Semplicemente tramite la funzione htmlentities() se io scrivessi

Ciao</p> dovrebbe scrivere solo Ciao....
In che senso lasciare liberi gli spazzi "" ??

**Ophy94** · 28-08-2010, 01:55

Samleo ho risolto, grazie comunque di avermi rosposto...
Ciao

Discussione: Funzioni di sicurezza che non vanno

Strumenti discussione

Ricerca discussione

Visualizza

Funzioni di sicurezza che non vanno

Permessi di invio