Visualizzazione risultati 1 fino 5 di 5

Discussione: Info su Sicurezza DB

  1. #1
    Guest

    Predefinito Info su Sicurezza DB

    ciao a tutti,
    la mia è una semplice curiosità:
    nel mio DB ho una tabella per gli utenti, la password la salvo codificata con la funzione md5 di php mentre l'username faccio sempre $user=mysql_real_escape_string($user) prima di inserirlo in qualsiasi query(tipo per il login).
    a questo punto c'è ancora qualcosa per cui mettendo stringhe particolari nei text input o altro si può entrare nel sito spacciandosi per qualcun'altro o darmi altri problemi vari?

    grazie mille

  2. #2
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,762

    Predefinito

    Per prevenire attacchi XSS, quando (e se) mostri qualche valore preso dal database che ha scritto l'utente, è consigliabile usare la htmlentities(), oppure la htmlspecialchars().

    La mysql_real_escape_string() ovviamente non va fatta soltanto per l'username, ma per TUTTI i valori che andranno a comporre la query prelevati dall'utente.

    Ciao!

  3. #3
    Guest

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    Per prevenire attacchi XSS, quando (e se) mostri qualche valore preso dal database che ha scritto l'utente, è consigliabile usare la htmlentities(), oppure la htmlspecialchars().

    La mysql_real_escape_string() ovviamente non va fatta soltanto per l'username, ma per TUTTI i valori che andranno a comporre la query prelevati dall'utente.

    Ciao!
    grazie mille per la risposta
    quindi se ho capito bene:
    htmlentities o htmlspecialcharacters andrebbero fatte ogni volta che faccio fare un input all'utente(anche non per il DB)
    giusto?

    per la mysql_real_escape_string si ovviamente su tutti, stavo pensando al login in cui chiedo solo username e password e per quest'ultima faccio già un md5() quindi penso non serva aggiungere anche mysql_real_escape_string o sbaglio?

  4. #4
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,762

    Predefinito

    Citazione Originalmente inviato da manganimejap Visualizza messaggio
    htmlentities o htmlspecialcharacters andrebbero fatte ogni volta che faccio fare un input all'utente(anche non per il DB)
    giusto?
    Ogni volta che mostri qualcosa nella pagina scritta da un utente.
    p.s: htmlspecialchars(), non htmlspecialcharacters (che non esiste)


    Citazione Originalmente inviato da manganimejap Visualizza messaggio
    per quest'ultima faccio già un md5() quindi penso non serva aggiungere anche mysql_real_escape_string o sbaglio?
    Vero... Io ne abuso di quella funzione e la utilizzo comunque (prima di criptarla), però in realtà già l'md5() "elimina" gli apici, quindi...

    Ciao!

  5. #5
    Guest

    Predefinito

    ok grazie mille

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •