Sicurezza textarea

**Pater92** · 13-11-2012, 17:10

Salve, sono nuovo del forum,...son alcuni giorni che cerco per internet di risolvere il mio problema e attualmente non ho trovato una soluzione.....

vorrei prevenire sqlinjection e html js injection....

a tal proposito ho trovato la str_replace e strip_tags che sono funzioni del php
da con le quali processare il campo testo del quale si vuole
evitare i due tipi di operazioni sopracitate....

quello che invece vorrei è non modificare affatto l'input...

ad esempio " ciao " rimanga " <_b_> ciao <_/b>" cioè non venga eseguito nulla di quello che può essere presente nel campo ma venga stampato il testo così come è stato inserito...

Eg. come fa facebook nella chat

**Vincent.Zeno** · 13-11-2012, 17:32

parli di due cose diverse e l'esempio

" ciao " rimanga " <_b_> ciao <_/b>"

non è chiaro, rispiega please

**Pater92** · 13-11-2012, 17:50

vorrei la stessa cosa che fa questo forum in poche parole

ciao non mette in grassetto la parola ciao ma stampa il testo così come è senza eseguirlo

**Vincent.Zeno** · 13-11-2012, 18:19

il testo della textarea andrà salvato in un db, immagino

se vuoi escludere le funzioni html devi usare funzioni lato server che codifichino i caratteri.
basta un replace dei caratteri < > con le relative entità durante l'inserimenti nel db
http://www.w3schools.com/tags/ref_entities.asp

**Pater92** · 13-11-2012, 18:30

.... le funzioni che ho citato al inizio
come quella che hai proposto
modificano il testo, e quindi quando
l'utente vedrà il suo post i caratteri non
saranno gli stessi che ha digitato, cosa che invece permette
questo forum e che vorrei poter permettere ai miei utenti

**Vincent.Zeno** · 13-11-2012, 18:34

ma magari prova, no?
anche qui si fa il replace dei caratteri!

edit:
o forse ti riferisci alla visualizzazione NELLA textarea dopo il salvataggio?
in questo caso dovrai fare un'altro replace

**Pater92** · 13-11-2012, 18:43

premessa.... tutte le cose che dico le ho testate.....
ho letto che sei moderatore... ma non basterebbe chiedere a chi ha fatto questo forum?...

se codifichi i caratteri sul db e poi li riconverti quando li stampi non hai effetti sul db ma non previeni la strampa di script ad esempio

input da textarea utente:"<script>alert('ciao')</script>"
viene passato per post e applico la str replace a <,>,/,',(,) mettendo in loro
vece delle #numero_nella_tabella_asci salvo nel db
... poi quando mi viene chiesto di visualizzare la stringa che mi era stata
inserita eseguo la query usando le chiamate in php
.... riconverto rimettendo <,> ecc... al loro posto...
... faccio la echo....
e nel html mi viene stampato ed eseguito "<script>alert('ciao')</script>"

ho stato chiaro?

**Multivelox** · 13-11-2012, 18:49

ho stato chiaro?

Mi sa che te hai qualche rotella fuori posto

**Pater92** · 13-11-2012, 18:50

è un espressione arcaica gergale....
volevo dire se hai capito quel che volevo esprimere....

**Vincent.Zeno** · 13-11-2012, 19:01

scusami per i vani e goffi tentativi di aiuto,
puoi far sicuramente meglio senza il mio supporto

Discussione: Sicurezza textarea

Strumenti discussione

Ricerca discussione

Visualizza

Sicurezza textare

Permessi di invio