Ripulire un parametro di input con PHP

31 Ottobre 2011
Una delle regole fondamentali nella gestione dei form recita "Don't trust user input", cioè "Non fidarti di alcun input inviato dagli utenti"; i moduli presenti all'interno dei siti Web, che servano per l'invio di feedback, per effettuare iscrizioni a servizi o a newsletter o per autenticarsi in un'area riservata, sono infatti delle vere e proprie "porte aperte" per chiunque voglia sferrare un attacco telematico.

Per questo è importante preddisporre dei "filtri" grazie ai quali "ripulire" qualsiasi parametro venga inviato tramite metodo (POST o GET) da eventuali caratteri insidiosi come per esempio elementi di HTML. Una semplice funzioncina un PHP per far questo potrebbe essere la seguente:

function purifica($input) {
   if(!get_magic_quotes_gpc())
       { 
        $input = @addslashes($input); 
       }
        $input = @strip_tags($input);
        return $input;
}

La funzione controlla che sia attivata la direttiva di PHP "get_magic_quotes_gpc", se questa non lo è verrà effettuato l'escape dell'input con la funzione "addslashes", dopo di che verrà eliminato qualsiasi tag HTML con "strip_tags".
Pubblicato in: PHP
Tags: sicurezza
Tutorials Correlati

Putty: un client SSH libero e gratuito
Putty (o pių propriamente "PuTTY") č un client SSH che integra anche una sh...

Lascia un commento
Nome

Email

Codice di verifica
 
© DominiOK, 2011-2025
Tutti i diritti sono riservati | Note Legali | Privacy
powered by GTWeb