Visualizzazione risultati 1 fino 13 di 13

Discussione: Protegersi dalle XXS

  1. 26-08-2009, 17.02.12 #1
    Guest

    Predefinito Protegersi dalle XXS

    Ciao come posso proteggermi dalle xss...
    io dovrei metterli nel database
    tipo cosi
    Codice PHP:
    $query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());

  2. 26-08-2009, 17.16.59 #2
    L'avatar di saitfainder
    saitfainder
    saitfainder non è connesso Sëniör Stäff
    Data registrazione
    06-12-2002
    Residenza
    Torino
    Messaggi
    8,715

    Predefinito

    Forse intendi l'SQL Injection? Fai passare le variabili attraverso mysql_real_escape_string().


    «È una mia peculiarità distorcere la verità e inventarne di nuove.»
    «I tuoi orientamenti hanno su di me un effetto prossimo allo zero.»

  3. 26-08-2009, 17.44.47 #3
    Guest

    Predefinito

    scusa le variabili per essere piu sicure secondo te questo basta giusto...
    come dovrei farle passare attraverso mysql_real_escape_string()... in che modo
    usando $query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());
  4. 26-08-2009, 18.04.02 #4
    Guest

    Predefinito

    Io passo tutti i dati via post prima di eseguire una query:

    Codice PHP:
    foreach($_POST as $key => $value) {
    $_POST[$key] = mysql_real_escape_string($value);
    }
    E poi esegui normalmente la query
  5. 26-08-2009, 18.21.56 #5
    Guest

    Predefinito

    tu dici prima di fare la query dovrei mettere foreach($_POST as $key => $value) {
    $_POST[$key] = mysql_real_escape_string($value);
    }
    per risolvere giusto
  6. 26-08-2009, 18.32.01 #6
    Guest

    Predefinito

    Si, così eviti le SQL Injection
  7. 26-08-2009, 18.45.46 #7
    Guest

    Predefinito

    cosi tu dici
    foreach($_POST as $key => $value) {
    $_POST[$key] = mysql_real_escape_string($value);
    $query_sa = ("INSERT INTO nome (nome, mail) VALUES (".$_POST['nome'].", ".$_POST['mail'].") ") or die(mysql_error());
    }}
    Ultima modifica di hotmailpower : 26-08-2009 alle ore 18.48.17
  8. 26-08-2009, 19.10.13 #8
    Guest

    Predefinito

    No! Il foreach va prima, quello dopo!
    Codice PHP:
    foreach($_POST as $key => $value) {
    $_POST[$key] = mysql_real_escape_string($value);
    }

    $query_sa = ("INSERT INTO nome (nome, mail) VALUES ('".$_POST['nome']."', '".$_POST['mail']."') ") or die(mysql_error());
    il foreach serve a 'pulirti' le varibili $_POST
  9. 26-08-2009, 22.39.54 #9
    Guest

    Predefinito

    sono riuscito a passare il controllo non so se si puo definire una xxs o sql ecc

    ma mettendo nel input tipo
    <title>ciao</title>
    nella pagina vista compare ciao
  10. 27-08-2009, 00.06.22 #10
    Guest

    Predefinito

    Vedi htmlentities
  11. 27-08-2009, 00.07.58 #11
    Guest

    Predefinito

    si lo conosco per il problema e che non so come passarlo usando
    $query_sa = ("INSERT INTO nome (nome, mail) VALUES ('".$_POST['nome']."', '".$_POST['mail']."') ") or die(mysql_error());
  12. 27-08-2009, 00.17.25 #12
    Guest

    Predefinito

    Codice PHP:
    $query_sa = ("INSERT INTO nome (nome, mail) VALUES ('".htmlentities($_POST['nome'])."', '".htmlentities($_POST['mail'])."') ") or die(mysql_error());
  13. 27-08-2009, 17.59.04 #13
    Guest

    Predefinito

    Ti ringrazio ci sono riuscito funziona^^
« Discussione precedente | Prossima discussione »

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •  

Regole del forum