Autore Topic: proteggersi da SQL injections  (Letto 2011 volte)

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
proteggersi da SQL injections
« il: 27 Apr 2009, 11:56:27 »
Salve. Ho personalizzato il form di invio articoli lato utente ed il form register con l'aggiunta di alcuni campi seguendo un tutorial reperito in un forum (non mi ricordo in quale). Ho fatto un javascrip di controllo sui dati inseriti e tutto funziona bene ma non ho proprio capito se anche nel server devo inserire nuovi controlli, e non saprei neanche come fare, oppure, se già com_content e com_user prevedono controlli sulla pesenza di codice dannoso in tutti i campi presenti nei forms di loro competenza.  Qualcuno mi saprebbe dire...grazie.

Offline = odino =

  • Instancabile
  • ******
  • Post: 5696
  • Sesso: Maschio
  • "In realtà li trasforma in menomati" Danzel
    • Mostra profilo
Re: proteggersi da SQL injections
« Risposta #1 il: 27 Apr 2009, 13:13:09 »
se vuoi stare sicuro inserisci dei controlli prima con JS, poi esegui escape con PHP, controlla magari anche il parametro magic_quotes_gpc di php.ini

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re: proteggersi da SQL injections
« Risposta #2 il: 27 Apr 2009, 14:10:36 »
Grazie per i suggerimenti. Adesso cercherò di attuarli!

Offline sauro

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re: proteggersi da SQL injections
« Risposta #3 il: 27 Apr 2009, 20:38:29 »
Sempre secondo il principio che magari la cosa fa comodo a qualcuno... alla fine ho capito in quale file bisogna inserire i controlli lato server per i vari componenti.

Per esempio: libraries/joomla/database/table/user.php.

Tra l'altro in questo file avevo già inserito le nuove variabili dei campi aggiunti nel form di iscrizione (veramente non mi ricordo dove ho letto tutta la procedura per aggiungere nuovi campi nei form di joomla però da qualche parte in rete sta scritta!). Nel file c'è una funzione che controlla se i campi sono vuoti o la email non è in formato valido. Nella funzione è piuttosto semplice inserire altri controlli riferiti alle nuove variabili usando le espressioni regolari.  Poi si, per quanto riguarda i problemi di SQL injections, caratteri di escape e magic_quotes (che ho visto è "on") ho letto qualcosa e sarebbe da approfondire la questione ma quello che cercavo adesso era poter controllare miratamente i campi e rimandare dei messaggi di errore nel caso javascript sia disattivato. Già, perchè, come è successo a me, ho fatto tutto un javascript della miseria per far scrivere solo delle determinate cose nei campi per poi scoprire che se javascrip è disattivato e premo il tasto invio da tastiera il submit parte anche con la metà dei campi vuoti..  scusate per la forma ma ho scritto in fretta, ciao

 

Host

Torna su