Sephirot

.grande:maestro.

User info:

Registered: Nov 2001
Posts: 3856 (0.44 al dì)
Location: South of No North
Corso: Informatica
Anno: III
Time Online: 60 Days, 15:06:08: [...]
Status: Offline

Post actions:

Originally posted by Mino

Se fai una cosa simile, qualunque stringa scrivo nel form, viene ricopiata nella pagina di output. Quindi anche se ti metto del codice html, questo verrà interpretato dal browser.
La soluzione (banalissima!) è di eliminare (strippare) con una regex i tag oppure con funzioni tipo la strip_tags di php.

Ancora più grave è non strippare gli apici, cosa che spesso permette di aggirare controlli sql.

ma un'hacker, una volta arrivato al DB non è anche capace di arrivare al codice della form e disattivare ugualmente quei controlli?

__________________
SEPHIROT
mi piacciono i bluvelvet menosi - http://www.menschenfreundlicher.ch/ - "secondo me basta copiarlo in notepad"

fabpicca

jesus robot d'acciaio

User info:

Registered: May 2002
Posts: 2166 (0.25 al dì)
Location: Pieve Emanuele
Corso: Ticom
Anno: 1°
Time Online: 12 Days, 23:12:28 [...]
Status: Offline

Post actions:

Originally posted by Sephirot
ma un'hacker, una volta arrivato al DB non è anche capace di arrivare al codice della form e disattivare ugualmente quei controlli?

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)