Form per il salvataggio dei dati - problemino

Ciao a tutti,
ho tentato di costruire un form per il slvataggio dei dati scritti dall'utente in un campo textarea su un file txt nel mio spazio (l'ho fatto tramite la form machine) e questo è il risultato:

<FORM METHOD="POST" ACTION="http://britanniatimes.altervista.org/cgi-bin/shared/form.cgi?997c81975d015ca294272ff1a9871386">< input type="hidden" name="dest" value="dati.txt">
<input type="hidden" name="nick" value="britanniatimes">
Testo
<TEXTAREA NAME="testo" COLS="30" ROWS="4" MAXLENGTH="50"></TEXTAREA>
<BR>
<input type="submit" value="invia">
</form>

A parte il fatto che le ultime due righe le ho aggiunte io perchè non c'erano :)
..comunque l'ho provato, mi da un messaggio del tipo "i tuoi dati sono stati inviati correttamente" ma non trovo il file suddetto nel mio spazio...
mi illuminate sul suo funzionamento?

...arggh! Appena postato ho visto che i file sono finiti nella cartella /database :D

Bello! Però è possibile far sì che venga salvato un file di testo con *solo* il testo inviato e non tutti i dati di contorno (data, ora, ecc.. :))?

quelle cose le aggiunge quel "form.cgi"

Con un piccolo problema, che non è possibile attivare la cartella cgi-bin da altervista.

Ma non solo, l'uso del tag hidden è pericoloso perchè permette di intromettersi nel tuo forum, in quanto dai in chiaro il tuo nick (basta leggersi il codice) e modificarlo on the fly sul proprio pc, mettendoci il proprio nick e facendolo autorizzare dal server del forum.

Tanto per dire: mi basta modificare il valore nel tag hidden per uppare file più grandi di 2 mega.

...quindi non sono eliminabili?

Visto che volevo visualizzare sul sito in modo automatico quello che viene inviato non è carino mostrare così l'IP.. :(

Con un piccolo problema, che non è possibile attivare la cartella cgi-bin da altervista..

...e questo cosa comporta? Lo script in sè funziona del tutto

Ma non solo, l'uso del tag hidden è pericoloso perchè permette di intromettersi nel tuo forum, in quanto dai in chiaro il tuo nick (basta leggersi il codice) e modificarlo on the fly sul proprio pc, mettendoci il proprio nick e facendolo autorizzare dal server del forum.

Tanto per dire: mi basta modificare il valore nel tag hidden per uppare file più grandi di 2 mega.

Qui non ti seguo: quale sarebbe il rischio detto in parole pover(issim)e ? :)

Ma non solo, l'uso del tag hidden è pericoloso perchè permette di intromettersi nel tuo forum, in quanto dai in chiaro il tuo nick.

..comunque il nick è già "in chiaro" nel momento in cui uno guarda l'url

Come funziona? Da quel che so, il cgi non dovrebbe funzionare, ma se lo fa ... shhhhh.

Per quanto riguarda il tag hidden, il trucco è vecchio quanto il mondo (del web) ed è stato scoperto loro malgrado dai molti che hanno tentato di mettere su un carrello della spesa in html.
In pratica, si salva il tuo file in locale (lo si ripesca dalla cache) lo si modifica e lo si risalva, quindi lo si lancia lo si compila et voilettes, fregato :d

Ma non solo, l'uso del tag hidden è pericoloso perchè permette di intromettersi nel tuo forum, in quanto dai in chiaro il tuo nick.

..comunque il nick è già "in chiaro" nel momento in cui uno guarda l'url

Io non conosco cosa fa il cgi, e sopratutto a cosa gli serve che nel passaggio dell'url ci sia il tuo nick, però posso immaginare che se hai iinserito un tag hidden con il tuo nick dentro, forse è perchè ci deve stare quel riferimento, ora se io lo cambio con il mio forse succede qualcosa ;) te capì?
Se non vuoi che appaia sull'url, invece di usare il metodo post nel form, usa il metodo get.

Ma in pratica non utilizza il cgi-bin, semplicemente è un form che ho fatto con la form machine e in effetti potrebbe essere usato come forum anche se non è la mia intenzione :)

Quello che dico io è che se anche uno modifica il file con il form e cambia il nick il form stesso non dovrebbe più funzionare... inoltre come fa a funzionare se il file modificato non è presente sul mio spazio?

Ma in pratica non utilizza il cgi-bin, semplicemente è un form che ho fatto con la form machine e in effetti potrebbe essere usato come forum anche se non è la mia intenzione :)

Quello che dico io è che se anche uno modifica il file con il form e cambia il nick il form stesso non dovrebbe più funzionare... inoltre come fa a funzionare se il file modificato non è presente sul mio spazio?

Che file? io parlo del form di inserimento dati che hai postato all'inizio di questo thread.

se uno modifica il tag hidden del form con il proprio nick..
Non è questo il rischio di cui parlate?

Il mio dubbio è che per modificarlo uno deve salvarlo sul suo pc;
Una volta modificato non può riupparlo sul mio spazio;
Se non lo uppa sul mio spazio che danni può causare? Il form uppato su un altro server non dovrebbe funzionare..

Scusate se faccio fatica a seguirvi ma non picchiatemi, sono un niubbo di queste cose :D :P

Allora:

Non serve "upparlo" basta lanciarlo dal proprio pc, infatti, ciò che non sai è che basta scrivere l'url corretta per interagire con il CGI.
Al limite conoscendo la giusta sintassi, nn avrei neanche bisogno del tuo file.
In pratica, cambio il nick nel tuo file, lo salvo nel mio pc, lo lancio, riempio il form e premo invio.
A quel punto il form mi lancia verso il CGI nel tuo spazio server, la giusta quesry, con il mio nick al posto del tuo.
Capito?

Non serve "upparlo" basta lanciarlo dal proprio pc, infatti, ciò che non sai è che basta scrivere l'url corretta per interagire con il CGI.

Ah. :?

Al limite conoscendo la giusta sintassi, nn avrei neanche bisogno del tuo file.
In pratica, cambio il nick nel tuo file, lo salvo nel mio pc, lo lancio, riempio il form e premo invio.
A quel punto il form mi lancia verso il CGI nel tuo spazio server, la giusta quesry, con il mio nick al posto del tuo.
Capito?

Però io non ho attivato nessun CGI da come ne parla il sito (infatti non sono neanche a 2000AC), il form salva solo i dati immessi dall'utente in un file txt nella directory impostata, e da lì io li vado a prendere con il famoso script php per visualizzarli sulla pagina. E poi una cosa simile, come dici tu, la si può fare anche senza avere il file...
Comunque per ora non sfrutterò questa opportunità come avrei voluto per il semplice fatto che non intendo visualizzare l'ip di ogni utente che salva un messaggio, se non è possibile evitarlo..

Ciao!

Però io non ho attivato nessun CGI da come ne parla il sito (infatti non sono neanche a 2000AC), il form salva solo i dati immessi dall'utente in un file txt nella directory impostata, e da lì io li vado a prendere con il famoso script php per visualizzarli sulla pagina. E poi una cosa simile, come dici tu, la si può fare anche senza avere il file...
Comunque per ora non sfrutterò questa opportunità come avrei voluto per il semplice fatto che non intendo visualizzare l'ip di ogni utente che salva un messaggio, se non è possibile evitarlo..

Ciao!

L'esempio l'hai fatto tu, il CGI ce l'hai in quanto il form punta ad un CGI, l'IP del client che c'entra.
Secondo me fai una confusione terribile tra quanto hai detto in qualche post, e ciò di cui stiamo parlando adesso.
Comunque non preoccupati, parlavo solo a livello di teoria, alla pratica per ora non sono passato ;)

Arghh ho confuso CGI con MySqul :P

Quello che intendevo dire prima è che il form creato con la "form machine" salva su un file txt, oltre al messaggio scritto dall'utente, anche il suo ip, quindi non credo che lo userò per i miei fini (creare una bacheca pubblica di messaggi) per non rendere pubblici gli ip di chi la usa :)

Anyway, saluti :)