1) Il bug più presente nei website sono le xss.
Le xss o cross site scripting sono l'inserimento di un codice javascript in una variabile get($_GET['get']) o post($_POST['post']).
esempio pratico:
andando sulla pagina e facendo
apparirà un alert con scritto 0. E quindi ora sorge il dubbio, cosa me ne frega? bhè si possono prendere i cookie e entrare come admin.
come si fixa?
Per fixarlo bisogna aggiungere htmlspecialchars() alla variabile.
in sostanza htmlspecialchars trasforma i caratteri di html (<>) in caratteri speciali che iniziano per & (es: lo spazio è ).
2)Per quanto riguarda le connessioni col server mysql, l'esecuzione di query con all'interno variabili non sono molto scomode, ma una persona puo inserire nel database quello che vuole oppure aggirare funzioni di verifica (WHERE ).
come fixare?
in sostanza addslashes aggiunge un \ davanti ai caratteri " o ' così il php non li interpreta come chiusure di una funzione ma come testo.
3) Ora una funzione comoda per chi vuole crearsi file da php, e il contenuto lo scelgono gli altri.
Un esempio è un guesbook.
se noi scriviamo i caratteri " o ' con fwrite si trasformeranno \" o \'.
per ovviare questo problema basta mettere:
in sostanza sripslashes fa il contrario di addslashes.
Attenzione che però se sono presenti due \\ ne rimuoverà solo uno!
per ulteriori informazioni, consultate php.net:
1)
2)
3)
spero che questi link non siano ritenuti spam, dato che php.net è una risorsa molto utile :mad
Per ulteriori info postate qui :cool:
Le xss o cross site scripting sono l'inserimento di un codice javascript in una variabile get($_GET['get']) o post($_POST['post']).
esempio pratico:
PHP:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
come si fixa?
Per fixarlo bisogna aggiungere htmlspecialchars() alla variabile.
PHP:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
2)Per quanto riguarda le connessioni col server mysql, l'esecuzione di query con all'interno variabili non sono molto scomode, ma una persona puo inserire nel database quello che vuole oppure aggirare funzioni di verifica (WHERE ).
come fixare?
PHP:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
3) Ora una funzione comoda per chi vuole crearsi file da php, e il contenuto lo scelgono gli altri.
Un esempio è un guesbook.
se noi scriviamo i caratteri " o ' con fwrite si trasformeranno \" o \'.
per ovviare questo problema basta mettere:
PHP:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Attenzione che però se sono presenti due \\ ne rimuoverà solo uno!
per ulteriori informazioni, consultate php.net:
1)
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
2)
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
3)
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
spero che questi link non siano ritenuti spam, dato che php.net è una risorsa molto utile :mad
Per ulteriori info postate qui :cool: