15/03/12 18:51
mistervox
Salve, sto cercando di creare un sistema per prenotare delle aule in php.
Questo script presenta varie pagine, io mi occupo di inserimento, modifica e cancellazione aule.
Da interfaccia web per inserire una aula ho creato un form che prevede:
nome aula textbox
numero di posti menu a tendina
tipo aula menu a tendina
descrizione aula
i lamer dei miei compagni si divertono a caricare codici tipo <script>alert(blabla);</script> tramite textbox, questi script vengono poi salvati nel database e quindi eseguiti ogni volta che apro la pagina, ho pensato quindi di bloccarli dal principio inserendo una funzione con controlla se nella stringa ci sono caratteri come < oppure / opure parole chiave come script e così via.
sono riusciti a trollarmi comunque, quindi chiedo, essendo uno script molto semplice, basato sul passare le variabili da un pagina a un'altra tramite metodo post, non avendo conoscenze sulla sicurezza informatica essendo in quinta superiore, quale è il modo più semplice ed efficace per bloccare l'esecuzione di codice?
avevo pensato a qualche funzione che elimina / o " se sono contenute in una stringa ma non saprei come procedere, quindi chiedo a voi guru qualche illuminazione, grazie
Questo script presenta varie pagine, io mi occupo di inserimento, modifica e cancellazione aule.
Da interfaccia web per inserire una aula ho creato un form che prevede:
nome aula textbox
numero di posti menu a tendina
tipo aula menu a tendina
descrizione aula
i lamer dei miei compagni si divertono a caricare codici tipo <script>alert(blabla);</script> tramite textbox, questi script vengono poi salvati nel database e quindi eseguiti ogni volta che apro la pagina, ho pensato quindi di bloccarli dal principio inserendo una funzione con controlla se nella stringa ci sono caratteri come < oppure / opure parole chiave come script e così via.
sono riusciti a trollarmi comunque, quindi chiedo, essendo uno script molto semplice, basato sul passare le variabili da un pagina a un'altra tramite metodo post, non avendo conoscenze sulla sicurezza informatica essendo in quinta superiore, quale è il modo più semplice ed efficace per bloccare l'esecuzione di codice?
avevo pensato a qualche funzione che elimina / o " se sono contenute in una stringa ma non saprei come procedere, quindi chiedo a voi guru qualche illuminazione, grazie
aaa
