Consigli sulla sicurezza di un sito postato il 28/08/2014 15:46:39 nel forum programmazione, gdrcd e open source
Ciao a tutti,
sto costruendo un pbf da zero (forum compreso) e, dopo aver programmato tutte le funzioni basilari del sito, sto iniziando a lavorare sulla sicurezza.
Dal momento che non sono molto esperto, mi sono documentato in giro, ma alcune cose non mi sono chiare.
Difendersi da attacchi XSS
htmlentities() o strip_tags()?
Secondo voi quale dei due sistemi di sicurezza è migliore? La mia idea era quella di dare la possibilità agli utenti di usare un semplice codice html (<b>, <i>, <u>) per poter personalizzare, di poco, i loro post.
strip_tags() rappresenta una valida alternativa a htmlentities()? Oppure è meglio utilizzare un htmlentities() e, prima di inviare il db la stringa effettuare una conversione (con uno script js) di tutti i tag che io ho ammesso?
Inoltre, dal momento che sul db io ho una stringa che contiene entità html, c'è rischio per la sicurezza al momento della riconversione?
Ed è sufficiente solo questo accorgimento per evitare attacchi XSS?
Difendersi da attacchi hijacking
Una volta eseguito il login, salvo i dati che mi interessano in variabili $_SESSION; di conseguenza non ci sono cookie nel pc dell'utente (almeno in teoria) che provengano dal mio forum e che contengano le sue informazioni personali.
Il punto è uno: sono protetto, con questo sistema, da attacchi hijacking o no?
Infine, quali altri possibili rischi possono esserci (che non ho considerato)?
Pagine → 1
28/08/2014 16:48:05 e modificato da blancks il 28/08/2014 16:56:56
Discussione seguita da
Pagine → 1
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD e Open Source Elenco Forum
Celebrando 20 Anni di GDR-Online.com: un grazie di cuore!