Dopo una ricerca ho visto che htmlspecialchars converte certi caratteri speciali, ho fatto una prova ed ho inserito nel form < e > ma a video stampa la stessa cosa e cioè < >, ma non dovrebbe convertire in entità html?
codice:$messaggio = htmlspecialchars(trim($_POST['messaggio']));
quello che vedi tu a video è < > ma se guardi il cidice html di quella pagina vedi che sono stati convertiti in < e > poi il browser li ha interpretati come maggiore e minore
Il calcolatore è straordinariamente veloce, accurato e stupido.
L'uomo è incredibilmente lento, impreciso e creativo.
L'insieme dei due costituisce una forza incalcolabile.
(Albert Einstein)
Allora che cambia? Possono sempre essere pericolosi, uno ci può inserire uno script lo stessoOriginariamente inviato da las
quello che vedi tu a video è < > ma se guardi il cidice html di quella pagina vedi che sono stati convertiti in < e > poi il browser li ha interpretati come maggiore e minore
no perchè uno script per essere eseguito deve essere <script> nel codice HTML e in quel caso tu non lo vedi a video, invece se nell'HTML c'è <SCRIPT> tu a video vedi <SCRIPT> e il browser non interpreta nulla.
... non so se è chiaro, è un po complicato da spiegare, è molto più facile fare un esempio, prova a fare:
prova a mettere nella prima textarea <SCRIPT>alert('Prova1')</SCRIPT> e nella seconda <SCRIPT>alert('Prova2')</SCRIPT> e vedrai che ti appare un allert con la scritta prova1 mentre il secondo script viene proprio scritto nella pagina ma non eseguitoCodice PHP:<?php
echo @$_POST['messaggio1'];
echo htmlspecialchars(trim(@$_POST['messaggio2']));
?>
<form action="<?= $_SERVER['PHP_SELF'];?>" method="post">
<textarea name="messaggio1" rows="5" cols="30"></textarea>
<textarea name="messaggio2" rows="5" cols="30"></textarea>
<input type="submit" name="invia" value="Invia" />
</form>
Il calcolatore è straordinariamente veloce, accurato e stupido.
L'uomo è incredibilmente lento, impreciso e creativo.
L'insieme dei due costituisce una forza incalcolabile.
(Albert Einstein)
Ho visto, perciò non è pericoloso proprio perché non è interpretato dal browser.Originariamente inviato da las
no perchè uno script per essere eseguito deve essere <script> nel codice HTML e in quel caso tu non lo vedi a video, invece se nell'HTML c'è <SCRIPT> tu a video vedi <SCRIPT> e il browser non interpreta nulla.
... non so se è chiaro, è un po complicato da spiegare, è molto più facile fare un esempio, prova a fare:
prova a mettere nella prima textarea <SCRIPT>alert('Prova1')</SCRIPT> e nella seconda <SCRIPT>alert('Prova2')</SCRIPT> e vedrai che ti appare un allert con la scritta prova1 mentre il secondo script viene proprio scritto nella pagina ma non eseguitoCodice PHP:<?php
echo @$_POST['messaggio1'];
echo htmlspecialchars(trim(@$_POST['messaggio2']));
?>
<form action="<?= $_SERVER['PHP_SELF'];?>" method="post">
<textarea name="messaggio1" rows="5" cols="30"></textarea>
<textarea name="messaggio2" rows="5" cols="30"></textarea>
<input type="submit" name="invia" value="Invia" />
</form>
Oltre a questi 2 < e > ci sono altri caratteri pericolosi?
Permessi di invio
Rispondi quotando