Richiesta aiuto sicurezza

**memai** · 25-02-2012, 16.36.16

Salve a tutti, avrei bisogno di qualche aiuto da parte di qualcune che si intenda di sicurezza, come l'sql injection e XSS.
Vorrei consigli su come migliorare la chat, in modo che da essa nessuno possa inserire chissà quali codici.

Vi ringrazio.

l'url del sito è:

http://tadada.lazytime.altervista.or...chat/index.php

La chat è ancora in fase di sviluppo, ma funziona nell'invio dei messaggi tramite chat.

**alemoppo** · 25-02-2012, 17.26.18

Ho provato ad inserire un po' di js, e non viene interpretato.

Se per leggere (dal form) usi la mysql_real_escape_string(), e per scrivere (sulla chat) l' htmlentities(), dovresti essere a posto...

Ciao!

EDIT:
Io, aggiungerei un onfocus="this.value='';", oppure prima un if che controlla se c'é la scritta di default...

Ciao!

**memai** · 25-02-2012, 17.33.57

Grazie per i consigli, vedrò di inserirli!

**radiodelmomento** · 25-02-2012, 18.31.56

Ciao, scusa ma ho mandato in tilt la chat...

Nel nickname puoi benissimo mettere un codice HTML/JS.
Aggiusta, ciao!

**memai** · 25-02-2012, 21.18.11

OK grazie a tutti.

**radiodelmomento** · 26-02-2012, 14.32.01

Ciao, ancora c'è qualche problema...
Se scrivi " /> non ti fa più fare niente, guarda come diventa ad esempio il pulsante per cambiare nome:

Codice HTML:

<button onclick="cambianome('&quot;" &gt;')="">Cambia</button>

Non solo il pulsante per cambiare nome, ma qualsiasi altro input...
Ciao!

Discussione: Richiesta aiuto sicurezza

LinkBack

Strumenti discussione

Display

Richiesta aiuto sicurezza

Regole di scrittura