Consigli sulla sicurezza di un sito postato il 28/08/2014 15:46:39 nel forum programmazione, gdrcd, open source, hosting
Ciao a tutti,
sto costruendo un pbf da zero (forum compreso) e, dopo aver programmato tutte le funzioni basilari del sito, sto iniziando a lavorare sulla sicurezza.
Dal momento che non sono molto esperto, mi sono documentato in giro, ma alcune cose non mi sono chiare.
Difendersi da attacchi XSS
htmlentities() o strip_tags()?
Secondo voi quale dei due sistemi di sicurezza è migliore? La mia idea era quella di dare la possibilità agli utenti di usare un semplice codice html (<b>, <i>, <u>) per poter personalizzare, di poco, i loro post.
strip_tags() rappresenta una valida alternativa a htmlentities()? Oppure è meglio utilizzare un htmlentities() e, prima di inviare il db la stringa effettuare una conversione (con uno script js) di tutti i tag che io ho ammesso?
Inoltre, dal momento che sul db io ho una stringa che contiene entità html, c'è rischio per la sicurezza al momento della riconversione?
Ed è sufficiente solo questo accorgimento per evitare attacchi XSS?
Difendersi da attacchi hijacking
Una volta eseguito il login, salvo i dati che mi interessano in variabili $_SESSION; di conseguenza non ci sono cookie nel pc dell'utente (almeno in teoria) che provengano dal mio forum e che contengano le sue informazioni personali.
Il punto è uno: sono protetto, con questo sistema, da attacchi hijacking o no?
Infine, quali altri possibili rischi possono esserci (che non ho considerato)?
Pagine → 1
28/08/2014 16:48:05 e modificato da blancks il 28/08/2014 16:56:56
Discussione seguita da
Pagine → 1
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
I dati del generatore di rank sono stati aggiornati!
Legacy of Magic: La distruzione dell’avamposto nemico
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
Age of Crystals: Evento orroromantico e qualche numero ❤
Hikaru No Tohei - Le Luci di Tohei: Major outage - disservizio temporaneo 🔧
Left To Survive: Bonus del venerdì! Cosa volete di più?
kashiolo ha recensito Naruto x Boruto GDR - New Rebirth
Metin2 → Sfida i tuoi rivali a battersi con te e dimostra la tua superiorità in questo mondo fantasy!
Entropia Universe: Note sulla versione di Entropia Universe 18.9.4
Enlisted: Rendiamo Enlisted un posto migliore №67
aryamoon ha recensito Crystal Tokyo
Exclusive Villa GdR: [Implementazioni] Dadi 3D
NosTale → Con l’aiuto della spada e della bacchetta magica risolverai abilmente intricate missioni e domerai coraggiosamente mostri selvaggi!
ilbri ha aperto un annuncio di ricerca: Altri Generi ricerca Programmatore
raxhodyastaff ha aperto un annuncio di ricerca: Raxhodya Yaoi GdR ricerca Tester
Star Trek Horizon: Questlog: Search and rescue
Dbz Gdr: DBZ GDR Online – Completamento Alpha Test
Naruto x Boruto GDR → Crea il tuo ninja, intreccia storie con altri giocatori e vivi avventure uniche nel GDR più apprezzato del suo genere!
eXtremelot non chiude! - Intervista esclusiva ai gestori di eXtremelot sul futuro del primo play by chat che di certo non chiude!
Epos Tolkeniano - Tesi sul tramonto dell'epos nell'universo mitologico di J.R.R. Tolkien
Guida Nuovi Giocatori - Guida per i nuovi giocatori: come iniziare nel complicato mondo del GdR Online!
Narnia - Un viaggio verso la realtà: Le Cronache di Narnia nella ricezione italiana
Giochi Shadowhunters - Lista completa dei giochi di ruolo online ambientati nel mondo urban fantasy di Shadowhunters
Giochi di Carte - I giochi Card Game (conosciuti anche come Trading Card Game - TCG o Giochi di Carte Collezionabili - GCC) consentono di giocare in versione digitale!