Scrivere codice PHP nell'editor html di Email Templates (chronoform)

[Franceschino]

Salve, scusate ma io ho bisogno di personalizzare un campo della mia mail xkè la regione nell'html ce l'ho a numeri e volevo inserire una funzioncina php ke la trasforma nella stringa corrispondente prima di inviarla nella mail e possibilmente anche prima di mandarla al db. Ho provato a inserire del codice PHP ma quando salvo e faccio la prova x vedere se funziona ovviamente non funziona e dopo che ci rientro vedo che me lo cancella... è normale? Non accetta codice php?

[vales]

Per fare questo in Setup Emails devi disabilitare Use template editor nella tab grigia. Questo consente di inserire il codice PHP.

[Franceschino]

sì grazie..poi ho visto che già lo avevi scritto in un'altra discussione...grazie 1000
scusami una domanda che non c'entra niente.. ora che ho terminato il form dovrei affrontare la questione della sicurezza ma non l'ho mai fatto. Ho cercato un pò di informazioni qua e là in rete ma non so se sono metodi obsoleti e soprattutto se sono sufficienti...Sapresti darmi delle linee guida? 

[vales]

Chronoforms non è nell'elenco dei componenti che hanno presentato problemi di sicurezza.

http://forum.joomla.it/index.php/topic,110935.0.html

Comunque nella scrittura di eventuale codice per la gestione dei campi passati è sempre opportuno usare certe precauzioni nel trattare i dati di ingresso e uscita dal form.

Qui ci sono alcune utili funzioni da usare con Joomla.

http://docs.joomla.org/Retrieving_data_from_GET_and_POST_requests

[Franceschino]

Quindi significa che Chronoform ha già all'interno dei sistemi di sicurezza?Non ho bisogno di prevedere altri controlli aggiuntivi dici?
Riguardo al link praticamente dovre usare il post e indicare il tipo della variabile in modo da aumentare la sicurezza del trasferimento?
Grazie

[vales]

Potresti spiegare cosa vuoi fare ? Non capisco a cosa ti riferisci con il link

[Franceschino]

Parlavo del link che avevi messo tu per le jRequest con Get o Post.. Ma in poche parole mi puoi spiegare quello che devo fare x risolvere il problema sicurezza?Mi sto scervellando a leggere decine di pagine,molte simili tra l'altro ma poi all'atto pratico non ho capito cosa fare e soprattutto come

[vales]

chronoforms è un componente che risponde alla tecnica MVC implementata in joomla, se utilizzi un form normale non hai bisogno di implementare altre cose. Pensa lui a tutto.

Se all'interno del form utilizzi codice che elabora i campi inseriti, prima che chronoform li invii, devi trattarli con quelle tecniche descritte nel link per essere più tranquillo.

Esempio potresti usare un campo inserito come filtro di una query di ricerca nel database in quel caso il rischio è quello di una SQLjniection. Se non fai tutto questo va bene per default.

[Franceschino]

Ciao buongiorno innanzitutto grazie per la pazienza..
un form "normale" dici...ho realizzato un form multipage per rispondere alle esigenze del caso...tu cosa intendi per normale?
Di codice ne utilizzo un pò per fare dei controlli javascript lato client per impedire che il forum venga riempito a caso e per evitare spam...devo utilizzare le tecniche del link ke mi hai mandato in questo caso?

[Franceschino]

altra domanda..tu dici

chronoforms è un componente che risponde alla tecnica MVC implementata in joomla, se utilizzi un form normale non hai bisogno di implementare altre cose. Pensa lui a tutto.

per adesso sia la login che il form di registrazione li avevo realizzati con joomla perchè permette di gestire anche i link per password dimenticata (che poi va a inviare un codice via mail), o di registrarsi se non è già stato fatto.
La domanda è questa: se voglio avere il livello di sicurezza di cui parliamo devo utlilizzare per forza chronoform o anche per gli stessi form realizzati con joomla vale lo stesso discorso?la tecnica MVC in pratica è solo per i componenti di joomla (come chronoform) o vale anche per joomla stesso? 
grazie mille

[vales]

No, per joomla è scontato l'utilizzo di tecniche sicure.

[Franceschino]

Ok, mi hai risollevato... 
grazie mille e alla prossima (tanto ti scoccierò ancora...moooolto presto) 

[Franceschino]

No, per joomla è scontato l'utilizzo di tecniche sicure.

ma quindi significa ke a parte gli "accorgimenti" di cui si parla anche in questo articolo
 http://www.joomla.it/articoli-della-community/745-joomla-e-un-cms-sicuro.html
non devo prevedere altro? joomla da solo è in grado di,non so, capire se un utente inserisce codice sql nel form per entrare? sono confuso 

[mau_develop]

se usi cronoform, chi l'ha scritto ha già pensato a come non farti abusare dei campi
se usi joomla, chi l'ha scritto ha già pensato a controllare che non ci siano problemi di sicurezza

se aggiungi qualcosa tu... devi pensarci tu, non è che se scrivi codice sbagliato joomla è in grado di correggerle...

M.

[Franceschino]

Sì sì ho capito perfettamente cosa vuoi dire...ho letto delle discussioni in cui si parla (e anche tu) e si spiega come affrontare questi problemi, cosa fare se si viene attaccati ecc.
Solo che mi sembrava un pò strano che non dovessi prevedere nulla a riguardo. Solo una cosa..che intendi per aggiungere codice?Che genere di codice?