MRW.it Forum
  • Home
  • Forum
  • Fare Web
  • PHP

proteggere le pagine internet

  • Creatore Discussione Creatore Discussione iacoposk8
  • Data di inizio Data di inizio 30 Mar 2010
  • Tag Tag
    htmlentities mysql_real_escape_string
Prec.
  • 1
  • 2
Primo Prec. 2 di 2
MarcoGrazia

MarcoGrazia

Utente Attivo
15 Dic 2009
853
21
28
63
Udine
www.stilisticamente.com
  • 12 Apr 2010
  • #21
Per Borgo e Alessandro, avete un problema sicurezza per cortesia collegate il cervello (icona verde che non c'è).
Il filtro che valida, ho detto valida! FILTER_VALIDATE_EMAIL valida l'email secondo la RFC (non ricordo il numero) per la quale ad esempio localhost è un indirizzo valido come pallino :) infatti non c'è scritto da nessuna parte che ci deve stare il punto e poi il top level domain.
Ma non è finita, bastava leggere il manuale per rendersi conto che:
Validation is used to validate or check if the data meets certain qualifications. For example, passing in FILTER_VALIDATE_EMAIL will determine if the data is a valid email address, but will not change the data itself.
Clicca per allargare...
ovvero che comunque la stringa viene sempre riportata come'è in ingresso se ritenuta valida e pinco@pallino lo è.
Bisogna anche aggiungere il filtro: FILTER_SANITIZE_EMAIL per togliere i caratteri !#$%&'*+-/=?^_`{|}~@.[]. e dare in uscita un valore diverso.
Validation is used to validate or check if the data meets certain qualifications. For example, passing in FILTER_VALIDATE_EMAIL will determine if the data is a valid email address, but will not change the data itself.
Clicca per allargare...
http://it.php.net/manual/en/intro.filter.php
L'esempio riportato alla pagina del manuale chiarisce qualche cosa: http://it.php.net/manual/en/filter.examples.sanitization.php
Before: (bogus@example.org)
After: bogus@example.org
Clicca per allargare...
la validazione passa ma vengono tolte le parentesi.

Per questo a Borgo non tornava quello che diceva Alessandro.

@iacoposk8 la sicurezza assoluta non si raggiunge mai, si tenta di avvicinarsi ad un livello di sicurezza pratico, certo la paranoia aiuta ma si rischia di non dormire la notte.
1) le sesioni in php sono meno che perfette ma non sono nemmeno tanto male, cambiare il valore di sessione può essere un'idea ma tutto sommato anche abbastanza inutile dato che non saprai mai quando avverrà l'attacco.
Meglio usare i token, si crea un numero univoco, tutto sommato un secondo numero di sessione ma ottenuto tramite un artificio, ad esempio il timestamp+$_SERVER['REMOTE_ADDRESS'] passato all'md5 ti darà un valore abbastanza difficile da replicare (a dire il vero no ma insomma ci si possono inventare mille altri modi per ottenere un valore univoco) lo si mette in un array di sessione e lo si confronta con la sessione con la quale è stato creato, se non ci sono incongruenze si va avanti.
2) è un modo ma non necessariamente sicuro però è buono.
3) con il metodo dei token ma non solo, insomma se a uno gli si dice di cliccare qui e quello clicca non c'è nulla da fare.
4) la macchina più insicura e quella posta tra il monitor e la sedia, se uno è "cretino" compierà azioni che nessuno aveva previsto, vedi le leggi di murphy.
Per questo sul Web si parla di insicurezza e non di sicurezza.
 
borgo italia

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.044
150
63
PR
www.borgo-italia.it
  • 13 Apr 2010
  • #22
ciao
....in ingresso se ritenuta valida e pinco@pallino lo è....
Clicca per allargare...
allora spiegami come mai da FALSE, o è un mistero della fede? see post 01-04-2010 13:58 output della riga 3

secondo
Bisogna anche aggiungere il filtro:
Clicca per allargare...
hai provato a leggere nel blog: validare un'email?

p.s.
dimenticavo: see post 01-04-2010 07:36
 
Ultima modifica: 13 Apr 2010
borgo italia

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.044
150
63
PR
www.borgo-italia.it
  • 13 Apr 2010
  • #23
ciao
dimenticavo

Remove all characters except letters, digits and !#$%&'*+-/=?^_`{|}~@.[].
Rimuovere tutti i caratteri ad eccezione di lettere, cifre e !#$%&'*+-/=?^_`{|}~@.[].


è l'esatto contrario di quello che dici tu

... FILTER_SANITIZE_EMAIL per togliere i caratteri !#$%&'*+-/=?^_`{|}~@.[]. e dare in uscita un valore diverso.
Clicca per allargare...

del resto togliere una AT all'indirizzo email mi sembra il massimo
 

MarcoGrazia

Utente Attivo
15 Dic 2009
853
21
28
63
Udine
www.stilisticamente.com
  • 13 Apr 2010
  • #24
Mai ripondere di sera!
borgo italia ha scritto:
ciao

allora spiegami come mai da FALSE, o è un mistero della fede? see post 01-04-2010 13:58 output della riga 3

secondo

hai provato a leggere nel blog: validare un'email?

p.s.
dimenticavo: see post 01-04-2010 07:36
Clicca per allargare...
Il motivo della confusione mia è che la validazione ritorna sempre il valore mandato in input, così come dichiarato dallo stesso php, e inoltre pallino è un host valido, il motivo è l'errore che ne io e ne Alessandro abbiamo controllato il valore di ritorno del filtro, cioè false dando per buono il fatto che di ritorno avevamo il campo pieno.

borgo italia ha scritto:
ciao
dimenticavo

Remove all characters except letters, digits and !#$%&'*+-/=?^_`{|}~@.[].
Rimuovere tutti i caratteri ad eccezione di lettere, cifre e !#$%&'*+-/=?^_`{|}~@.[].


è l'esatto contrario di quello che dici tu
Clicca per allargare...
Sì è vero scusami ho detto una ca...ta ora troppo tarda di un lunedì terribile, ovviamente volevo asserire il contrario (ma dov'è l'icona verde?) cioè che quelli erano gli unici valori passati insieme a lettere e cifre in quanto validi. Anche se alcuni non li ho mai visti usare.
del resto togliere una AT all'indirizzo email mi sembra il massimo
Clicca per allargare...

Questa non l'ho capita!
 

borgo italia

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
4 Feb 2008
16.044
150
63
PR
www.borgo-italia.it
  • 13 Apr 2010
  • #25
ciao
era una battuta: se toglie i caratteri come dicevi tu toglierebbe anche la chiocciola, e, come dicevo io, togliere la at da un indirizzo email non mi sembrava il massimo
 

MarcoGrazia

Utente Attivo
15 Dic 2009
853
21
28
63
Udine
www.stilisticamente.com
  • 13 Apr 2010
  • #26
borgo italia ha scritto:
ciao
era una battuta: se toglie i caratteri come dicevi tu toglierebbe anche la chiocciola, e, come dicevo io, togliere la at da un indirizzo email non mi sembrava il massimo
Clicca per allargare...
No avevi ragione e io ero solo stanco.
 
Prec.
  • 1
  • 2
Primo Prec. 2 di 2
Devi accedere o registrarti per poter rispondere.

Discussioni simili

S
[PHP] proteggere pagine
  • steve97
  • 15 Mar 2018
  • PHP
Risposte
10
Visite
3K
PHP 16 Mar 2018
borgo italia
M
Proteggere più pagine con password
  • max92
  • 10 Feb 2010
  • PHP
Risposte
12
Visite
3K
PHP 12 Feb 2010
borgo italia
G
php - codice per proteggere le pagine
  • givabres
  • 6 Apr 2009
  • PHP
Risposte
10
Visite
4K
PHP 8 Apr 2009
borgo italia
Z
proteggere pagine
  • zwack
  • 9 Giu 2006
  • Classic ASP
Risposte
2
Visite
2K
Classic ASP 13 Giu 2006
zwack
Z
Tutorial Asp: come proteggere le pagine
  • grottafelix
  • 4 Mag 2004
  • Supporto Mr.Webmaster
Risposte
6
Visite
3K
Supporto Mr.Webmaster 7 Mag 2004
grottafelix
Proteggere una cartella e file con password tramite .htaccess e .htpasswd
  • otto9due
  • 7 Dic 2022
  • Web Server
Risposte
0
Visite
1K
Web Server 7 Dic 2022
otto9due
Proteggere file caricati dall'esterno ma renderli accessibili per gli utenti loggati.
  • otto9due
  • 9 Feb 2022
  • PHP
Risposte
4
Visite
1K
PHP 29 Apr 2022
thanatos
T
R
[c#] Proteggere il codice dell'applicazione
  • race
  • 28 Ott 2020
  • C/C++
Risposte
0
Visite
2K
C/C++ 28 Ott 2020
race
R
B
Proteggere cartella Apache ma non le sottocartelle!!!
  • blasco46
  • 3 Apr 2017
  • Apache
Risposte
0
Visite
1K
Apache 3 Apr 2017
blasco46
B
Proteggere un file con htaccess
  • anton
  • 19 Set 2015
  • Apache
Risposte
0
Visite
1K
Apache 19 Set 2015
anton
Proteggere un file su host
  • anton
  • 25 Ago 2015
  • HTML e CSS
Risposte
9
Visite
2K
HTML e CSS 25 Ago 2015
anton
S
proteggere download dei file
  • simon83
  • 27 Giu 2014
  • PHP
Risposte
7
Visite
2K
PHP 9 Feb 2022
otto9due
M
proteggere un file testuale da accesso diretto
  • mediasteno
  • 19 Dic 2013
  • PHP
Risposte
4
Visite
2K
PHP 21 Dic 2013
flameseeker
G
Proteggere le tabelle in access
  • gigione6161
  • 30 Ott 2013
  • MS Access
Risposte
0
Visite
1K
MS Access 30 Ott 2013
gigione6161
G
P
Sistema migliore per proteggere le immagini?
  • PinkBetta
  • 7 Mag 2012
  • Discussioni Varie
Risposte
8
Visite
3K
Discussioni Varie 7 Mag 2012
PinkBetta
P
A
Proteggere Cartella con .htaccess su Xoom.it
  • augpinge
  • 18 Gen 2012
  • Web Server
Risposte
2
Visite
3K
Web Server 18 Gen 2012
augpinge
A
Proteggere i cookie
  • max_400
  • 4 Gen 2012
  • PHP
Risposte
7
Visite
2K
PHP 5 Gen 2012
max_400
M
Proteggere PHP
  • matador
  • 23 Dic 2011
  • PHP
Risposte
4
Visite
3K
PHP 25 Dic 2011
matador
M
proteggere foto con watermark da accessi tramite $_GET['']
  • Jam1
  • 11 Dic 2011
  • PHP
Risposte
16
Visite
4K
PHP 27 Dic 2011
Jam1
Proteggere login con autenticazione database
  • max_400
  • 16 Lug 2011
  • PHP
Risposte
19
Visite
6K
PHP 18 Lug 2011
max_400
Condividi:
Facebook X (Twitter) LinkedIn WhatsApp e-mail Condividi Link
  • Home
  • Forum
  • Fare Web
  • PHP
  • Italiano
  • Termini e condizioni d'uso del sito
  • Policy Privacy
  • Aiuto
  • Home
Community platform by XenForo® © 2010-2024 XenForo Ltd. | Traduzione a cura di XenForo Italia
Menu
Accedi

Registrati

  • Home
  • Forum
    • Nuovi Messaggi
    • Cerca...
  • Novità
    • Featured content
    • Nuovi Messaggi
    • Ultime Attività
X

Privacy & Transparency

We use cookies and similar technologies for the following purposes:

  • Personalized ads and content
  • Content measurement and audience insights

Do you accept cookies and these technologies?

X

Privacy & Transparency

We use cookies and similar technologies for the following purposes:

  • Personalized ads and content
  • Content measurement and audience insights

Do you accept cookies and these technologies?