HTMLENTITIES array

[kairos2020]

Buongiorno,
per essere sicuro di filtrare tutti i valori di un array prima di mandarli a schermo ho scritto una routine che ciclando sull'array (ottenuto da una query) sottopone ad htmlentities() tutti i valori.

La routine è la seguente :

Codice PHP:

<?php
$partecipanti = [
'Simone' => [
'anno' => '1986',
'sesso' => 'M',
'email' => 'test@notreal.com'
],
'Gabriele' => [
'anno' => '1991',
'sesso' => 'M',
'email' => 'test2@notreal.com'
],
'Josephine' => [
'anno' => '1985',
'sesso' => 'F',
'email' => 'test3@notreal.com'
],
];

XSS($partecipanti);

function XSS($partecipanti)
{
foreach ($partecipanti as &$row) {
foreach ($row as $key => &$value) {
$value = $value . "dsdsd";
}

return $partecipanti;

}

In teoria dovrebbe funzionare, ho fatto degli echo prima e dopo la 'cura', ma mi sembra una soluzione troppo banale, ammesso che funzioni.

Grazie

[dreadnaut]

Se è facile non è di soddisfazione?

Codice PHP:

$value = $value . "dsdsd";


Assumendo questo fosse in origine $value = htmlentities($value);, per quello che hai descritto, dovrebbe funzionare.

Una nota: htmlentities() converte tutto il possibile, mentre per evitare XSS di solito basta usare htmlspecialchars(), che converte solo i caratteri "pericolosi"

Man mano che il tuo sito cresce, ad un certo punto di chiederai: perché devo scrivere tutte queste conversioni? non c'è un modo di farlo in automatico? Si, puoi utilizzare un libreria di "template" per le pagine, che gestisce l'escape dei caratteri per te; ad esempio:

- https://twig.symfony.com/
- https://latte.nette.org/ (anche https://latte.nette.org/it/guide)
- https://platesphp.com/

Oppure infilarti nel tunnel e scriverne una tu

[kairos2020]

Buongiorno, grazie per la risposta.
Grazie anche per il suggerimento per i template.
Non li conoscevo (non li consco) , anche se ho letto qualcosa di SYMFONY tempo fa.
Non c'è dubbio che siano una soluzione eccellente, sia per la sicurezza sia per ragioni di ordine e pulizia del codice.
Grazie

p.s. Avevo dimenticato di passare l'array alla funzione per riferimento...

[dreadnaut]

Non li conoscevo (non li consco) , anche se ho letto qualcosa di SYMFONY tempo fa.

Twig è un pezzo di Symfony, ma si può usare separatamente. Sopra volevo suggerire una libreria utile, ma lungi da me spingerti a riscrivere l'intero applicativo in un framework

p.s. Avevo dimenticato di passare l'array alla funzione per riferimento...

Ricordarti anche di usarne il risultato:

Codice PHP:

$partecipanti = XSS($partecipanti);


[kairos2020]

Buona sera,

ho appena scaricato un tutorial, in italiano e della durata di più di tre ore (quindi immagino abbastanza completo) su SYMFONY 5.0, nei prossimi giorni
lo studierò, guardandolo più volte, alla fine deciderò se utilizzarlo per 'ricostruire' il mio sito.
L'unica perplessità attiene alla mia capacità di comprenderne l'uso, di tempo per 'fare e disfare' ne ho in abbondanza.
In ogni caso è stato un suggeriemnto prezioso.
Grazie

[dreadnaut]

Oh, sono confuso! Volevo dissuaderti dal riscrivere tutto

[kairos2020]

... ma era evidente

[silvermaledetto]

Twig comunque ha dei bei difettoni: non supporta APCu, nemmeno memcache, non permette di cancellare la cache da FTP quando PHP è in esecuzione, imposta permessi errati ai file: lo segnalai al phpBB.com quando si affidarono ad esso per Ascraeus 10 anni fa, adesso 10 anni dopo...non è cambiato nulla!

[istitutodinostrativo]

Salve buongiorno ho un problema non mi viene permesso di creare la cartella moodledata. http://istitutodinostrativo.altervis...le/install.php
Email: michelina.pignatelli1983@gmail.com

[alemoppo]

Salve buongiorno ho un problema non mi viene permesso di creare la cartella moodledata. http://istitutodinostrativo.altervis...le/install.php
Email: michelina.pignatelli1983@gmail.com

Ho risposto qui: https://forum.it.altervista.org/php-...ne-moodle.html
Evita di chiedere in più discussioni diverse.

Ciao!