.dsy:it. (http://www.dsy.it/forum/)
- Forum De Bell Tolls (http://www.dsy.it/forum/forumdisplay.php?forumid=7)
-- [Informatica]Hackerato sito della biococca (http://www.dsy.it/forum/showthread.php?threadid=4741)

Originally posted by Mino

Se fai una cosa simile, qualunque stringa scrivo nel form, viene ricopiata nella pagina di output. Quindi anche se ti metto del codice html, questo verrà interpretato dal browser.
La soluzione (banalissima!) è di eliminare (strippare) con una regex i tag oppure con funzioni tipo la strip_tags di php.

Ancora più grave è non strippare gli apici, cosa che spesso permette di aggirare controlli sql.

__________________
SEPHIROT
mi piacciono i bluvelvet menosi - http://www.menschenfreundlicher.ch/ - "secondo me basta copiarlo in notepad"

Originally posted by Sephirot
ma un'hacker, una volta arrivato al DB non è anche capace di arrivare al codice della form e disattivare ugualmente quei controlli?

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)