Ripulire un parametro di input con PHP
31 Ottobre 2011
Una delle regole fondamentali nella gestione dei form recita "Don't trust user input", cioè "Non fidarti di alcun input inviato dagli utenti"; i moduli presenti all'interno dei siti Web, che servano per l'invio di feedback, per effettuare iscrizioni a servizi o a newsletter o per autenticarsi in un'area riservata, sono infatti delle vere e proprie "porte aperte" per chiunque voglia sferrare un attacco telematico.
Per questo è importante preddisporre dei "filtri" grazie ai quali "ripulire" qualsiasi parametro venga inviato tramite metodo (POST o GET) da eventuali caratteri insidiosi come per esempio elementi di HTML. Una semplice funzioncina un PHP per far questo potrebbe essere la seguente:
La funzione controlla che sia attivata la direttiva di PHP "get_magic_quotes_gpc", se questa non lo è verrà effettuato l'escape dell'input con la funzione "addslashes", dopo di che verrà eliminato qualsiasi tag HTML con "strip_tags".
Per questo è importante preddisporre dei "filtri" grazie ai quali "ripulire" qualsiasi parametro venga inviato tramite metodo (POST o GET) da eventuali caratteri insidiosi come per esempio elementi di HTML. Una semplice funzioncina un PHP per far questo potrebbe essere la seguente:
function purifica($input) { if(!get_magic_quotes_gpc()) { $input = @addslashes($input); } $input = @strip_tags($input); return $input; }
La funzione controlla che sia attivata la direttiva di PHP "get_magic_quotes_gpc", se questa non lo è verrà effettuato l'escape dell'input con la funzione "addslashes", dopo di che verrà eliminato qualsiasi tag HTML con "strip_tags".
Pubblicato in:
PHP
Tutorials Correlati
Putty: un client SSH libero e gratuito
Putty (o pių propriamente "PuTTY") č un client SSH che integra anche una sh...
Lascia un commento
Categorie
- Apache (9)
- cPanel (2)
- Database (2)
- Drupal (1)
- HTML (3)
- Joomla (1)
- Linux (5)
- PHP (23)
- Sicurezza in Rete (4)
- Web Marketing (2)
- Webdesign e grafica (4)
- WordPress (3)
Archivi
Anno 2011