ciao a tuttiio sto cercando di rendere il mio form e le aree di login più sicure..ho trovato alcune informazioni girando qua e là in rete ma volevo anche sapere se c'era qualcuno disposto a darmi delucidazioni a riguardo perchè non so se le cose che ho trovato sono obsolete e soprattutto se sono sufficienti. Sapete consigliarmi qualcosa?
Grazie
io ti consiglio di leggere questo http://it.wikipedia.org/wiki/HTTPS
Grazie del link ma non era esattamente quello che intendevo (anche se mi servirà sicuramente). Parlavo di cose più pratiche come funzioni php che controllano il contenuto dei campi per evitare sql injection, o il settaggio di particolari campi del file php.ini, o la "leech protection", o l'uso di espressioni regolari, o l'uso di funzioni quali strip_tags() - html_special_chars() - html_entities().
Alcune di queste cose non so cosa siano di preciso devo ancora cercarle e approfondirle ma è quello che ho trovato fin'ora...pensi che sono sulla strada giusta o magari sbaglio o mi manca qualcosa....non so..mai affrontate questioni di sicurezza.
Grazie cmq
Consigli?
non ho capito...
Slq injection, mai sentito?Originariamente inviato da frenky7
non ho capito...
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
Sì ma non ho capito la funzione di cui parlano nell'articolo...e poi un'altra cosa che magari non è importante.. sto usando joomla..
bhè il metodo migliore per evitare sql injection e usare i prepared statements, cioè o con le funzioni mysqli o con PDO (dò per scontato che utilizzi mysql).Originariamente inviato da frenky7
Sì ma non ho capito la funzione di cui parlano nell'articolo...e poi un'altra cosa che magari non è importante.. sto usando joomla..
Joomla credo (non l'ho mai usato, vado per drupal) che di suo esegue un escaping e usi i prepared statements, quindi su quello dovresti essere tranquillo (solo tienilo sempre aggiornato)
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
guarda io ho un pò di confusione in questo momento...provo a spiegarti quello che ho capito o quello che ho intenzione di fare. Ho già messo dei controlli client side sui campi del form quindi in teoria dovrei riuscire a evitare che inseriscano codice arbitrario per entrare o fare danni perchè con re regex li obbligo a usare i caratteri e i numeri e all'occorrenza qualche -,_,/, a seconda dei campi in questione. Ho letto che bisogna replicare questi controlli anche server side perchè immagino che gente esperta sia in grado di bypassare queste piccole precauzioni in modo molto semplice. Quindi avevo pensato di inserire qualche funzioncina php per evitare che l'utente inserisca codice html o sql ad esempio oppure di usare funzioni come la strip_tags, html_entities() che a quanto ho capito vanno proprio a fare questo.
Spero di essermi spiegato..e spero che potrai illuminarmi se sto dicendo un sacco di cazzate o se magari qualcosa di sensato c'è.
Permessi di invio
Rispondi quotando