Sicurezza del sistema abilitare il codice html

**robertes** · 28-01-2005, 10:59

Ciao raga ho una curiosità leggendo la pillola
Andare a capo con nl2br quando il sommo scrive

Ok...teoricamente finisce tutto qui ma proprio da qui iniziano i problemi complementari. Questi problemi si dividono in due tronconi:

1) caso in cui abbiamo un'amministrazione privata a cui accediamo solo noi
2) caso in cui c'è un form in cui tutti gli utenti inseriranno del testo

Nel primo caso sappiamo benissimo come comportarci: sapendo che il codice HTML è attivato non inseriremo mai una stringa di questo tipo

code:
<script>alert('metallica ce l'ha piccolo');</script>

Nel secondo caso invece dobbiamo prevenire i furbacchioni che, sicuramente, inserirebbero codice strano.

Alcuni potrebbero dire: "EMBE'...usiamo la funzione htmlspecialchars che trasforma i caratteri più "pericolosi" (come <, ", ') nel rispettivo codice ascii."

Ok...però così facendo, se non stiamo attenti, ci fottiamo la funzione nl2br; infatti i
potrebbero essere trasformati in <br />.

che cosa si intende per codice pericoloso?
Potreste farmi degli esempi pratici?
Ed inoltre un'altra piccola domanda che mi sono sempre fatto
è perchè il sito freephp.html.it è stato realizzato in asp :master:

Ciao a tutti

**VaLvOnAuTa** · 28-01-2005, 11:12

Un esempio ce l'hai stesso nella pillola.
Se mi chiedi di mettere del testo e io metto
<script>alert('questo sito fa schifo')</script>
senza le dovute precauzioni quando dovrò stampare quel testo mi comparirà un message box con dentro la scritta "questo sito fa schifo".

**robertes** · 28-01-2005, 11:20

si infatti avevo già visto questo esempio!
altri?

**VaLvOnAuTa** · 28-01-2005, 11:26

[supersaibal]Originariamente inviato da robertes
si infatti avevo già visto questo esempio!
altri? [/supersaibal]

beh non è poco.
Mettiamo che metta del codice che crea una tabella (<table><tr><td>Fai il controllo sulle stringhe immesse dall'utente!</td></tr></table>) o che faccia un redirect verso il suo sito (<meta http-equiv="refresh" content="2; URL=www.miosito.it" \>) o fa scaricare un activeX o carica un filmato flash...
Hai bisogno di altri esempi?

**Inoki** · 28-01-2005, 11:32

[supersaibal]Originariamente inviato da VaLvOnAuTa
beh non è poco.
Mettiamo che metta del codice che crea una tabella (<table><tr><td>Fai il controllo sulle stringhe immesse dall'utente!</td></tr></table>) o che faccia un redirect verso il suo sito (<meta http-equiv="refresh" content="2; URL=www.miosito.it" \>) o fa scaricare un activeX o carica un filmato flash...
Hai bisogno di altri esempi?

[/supersaibal]

Oppure lanciassi un Javascript che chude la finestra principale (il tuo sito) e ne apre un'altra (il mio sito) non è molto carino no?!
Certo in questo caso apparirebbe la richiesta di chiudere la finestra principale, ma sarebbe in ogni caso poco carino..

E poi ActiveX credo sia il problema maggiore...
Insomma, avendo la possibilità di scrivere codice HTML, puoi fare nella pagina non tua, qualsiasi cosa puoi fare in fase di creazione di un altro sito..

Usa un po' la tua immaginazione ed hai trovato tutti gli esempi che vuoi

**robertes** · 28-01-2005, 11:46

thanks

**Inoki** · 28-01-2005, 11:47

[supersaibal]Originariamente inviato da robertes
thanks [/supersaibal]

De nada

Discussione: Sicurezza del sistema abilitare il codice html

Strumenti discussione

Ricerca discussione

Visualizza

Sicurezza del sistema abilitare il codice html

Re: Sicurezza del sistema abilitare il codice html

Permessi di invio