allora mi preparo una funzione anti XSS che in pratica:

1. tramite preg_replace e un pattern ad hoc mi toglie tutti i caratteri che non mi aspetto in quel determinato contesto (Es. "£'$%&/,.-+).

2. eseguo un htmlentities sul dato pulito per precauzione e per rendere la funzione utilizzabile su più ambiti.

che te ne pare conterraneo?

Potresti darmi un tuo parere su un mio dubbio esposto prima? Te lo riporto:

1. Quando si inizia una sessione, in automatico viene creato un cookie nel client con nome PHPSESSID, per modificare il nome di questo cookie mi basta scrivere session_name(nuovonome);?

Grazie!

Però scusami, ho capito che utilizzare l'ip non è comunque molto conveniente.
Un utente può utilizzare una connessione con IP dinamico, che addirittura cambia ad ogni richiesta di pagina, e quindi non poter mai trovare una corrispondenza tra lui/il suo computer e il cookie che gli è stato asssegnato nella pagina precedente.

Senza considerare che i dati recuperati dalle variabili superglobali $_SERVER['REMOTE_ADDR'] non sono affidabili. Almeno così scrivono in molti e anche il mio libro di testo. Ma quasi non ci capisco più nulla.

Riguardo le sessioni via database, eviterei problemi tipo Session Hijacking e avrei un maggiore controllo sulle sessioni, potrei comunque eseguire dei calcoli e delle statistiche. (Che posso comunque gestire anche utilizzando le sessioni di php).

Se posso vorrei porvi due domande oltre quello scritto fin'ora:

1. Quando si inizia una sessione, in automatico viene creato un cookie nel client con nome PHPSESSID, per modificare il nome di questo cookie mi basta scrivere session_name(nuovonome);?

2. Quali sono secondo voi i migliori metodi per scongiurare falle di XSS?

Filtrare tutti i dati in ingresso GET/POST con htmlentities e un preg_match specifico, può bastare?

Grazie ancora!

in che senso se i permessi sono impostati correttamente?
per prevenire XSS bisogna filtrare i dati in ingresso e uscita, no?

Che mi dici invece per il furto dei cookie?

Grazie

Fino ad adesso ho trovato due modi:

• Creare sessioni manualmente con solo codice php+database;
• session_set_save_handler();

oppure?

Ciao ragazzi,

allora! Ho letto un pò a riguardo e finalmente ho trovato una guida esaustiva sulle sessioni.
In pratica ho capito che, per evitare Session fixation, session hijacking, e altri problemi legati alle sessioni, basta rendere sicure le applicazioni da CrossSite Scripting ed SQL Injection, e salvare i dati di sessione su database anzichè su file testuali risiedenti su server.

Quello che non ho capito esattamente è come salvare questi dati su database. Voi ne sapete qualcosa? Io naturalmente nel frattempo mi documento meglio.

Devo dire che avevo tralasciato le sessioni tempo fa quando iniziai a studiare php, e me ne sto pentendo molto.

Grazie per il supporto intanto.

Ciao tigrone,

a me non importa della Sessione di php, io vorrei creare un metodo per autenticare e mantenere una sorta di "sessione di login" tramite database, con uno script che imposto io. Quindi senza utilizzare le sessioni di php. In modo da avere maggiore sicurezza ed evitare che utenti malevoli si approprino di dati di sessione di altri utenti.

63 visite e nessuna risposta? E' così strana la mia idea?

Salve a tutti ragazzi,

premesso che conosco in linea di massima l'uso delle sessioni di PHP per effettuare l'autenticazione dell'utente e il mantenimento della stessa su più pagine e per diverso tempo; premesso che so che per rendere maggiormente sicure le suddette sessioni di PHP bisogna cambiare il percorso di salvataggio dei dati relativi ad esse su disco (quando si è su hosting condiviso);

mi chiedevo: è sensato creare delle sessioni su Database MySQL funzionanti in questo modo?
Eviterò di specificare funzioni relative la sicurezza del codice.

Poiniamo il caso che l'utente si trovi per la prima volta dopo la registrazione a loggarsi sul sito:

1. Inserisce user e password;
2. Se si trova corrispondenza tra user/pass l'utente è loggato;
   2.1 Viene creato un record nella tabella SESSIONE con un ID di sessione univoco, e dati relativi all'utente;
   2.2 Viene creato un cookie contenente solo l'id della sessione appena salvata in database, con scadenza ad esempio di 30 minuti;

L'utente chiude il browser e torna dopo un pò di tempo sul sito:

1. Apre la pagina;
2. Viene cercato il cookie impostato;
   2.1 Se non esiste o è scaduto si ripete la fase di login;
   2.2 Recupero il valore, trmite query trovo la sessione di riferimento, confronto i dati in db (ottenuti dal primo collegamento) con quelli attuali dell'utente.

Come ragionamento è sensato? Se si, i dati che è possibile recuperare dell'utente sono abbastanza affidabili?

Ad esempio recuperando IP e Browser con le variabili $_SERVER['REMOTE_ADDR'] e $_SERVER['HTTP_USER_AGENT'] si va abbastanza sul sicuro?

Onestamente non mi va di creare l'autenticazione solo con le sessioni di php, anche perchè mi servirebbe quantificare gli utenti connessi e sapere il tipo e la quantità di traffico che c'è in un determinato arco di tempo sul sito.

Consigli? Pareri?

Grazie mille, McK

Salve Paolino,

in particolare io ho un LaCie Network Space, che da quanto apprendo dal sito ufficiale non dispone di NAS. E' un semplice Hard Disk di rete.

EasyPHP però può anche essere installato su Penne USB, Hard Drive, Memory Card in genere, ecc..

A quanto ho capito lo installi in un hard disk e ovviamente poi sarà Windows o MAC a farlo effettivamente funzionare.. E se così fosse io problemi non ne avrei dato che vorrei installare EasyPHP nell'hard disk di rete in modo da poter lavorare da 2 computer diversi..

Salve a tutti ragazzi,

mi chiedevo se fosse possibile creare una sorta di web server locale su un Hard Disk di rete condiviso in rete e quindi accessibile dai computer che condividono la stessa rete.

Ho letto che EasyPHP necessita Windows installato, ma ho anche letto della versione "Portable" di EasyPHP..

Ditemi un pò la vostra opinione in merito, se vi va!

Grazie, a presto!

Avviso a tutti coloro che mi hanno gentilmente contattato:

Non sarò disponibile per tutta la settimana. Vogliate scusarmi se riprenderemo i contattati fra qualche giorno. Grazie a tutti.

Salve forum,

sto cercando un grafico esperto di Illustrator che vettorializzi il logo di un mio progetto lavorativo partendo da una base JPG. Il logo è piuttosto semplice, fondamentalmente in bianco/nero e sfumature derivate con una sola piccola parte a colori.

Non ho idea di quanto possa offrire per questo tipo di lavoro, quindi per chi fosse interessato mi contatti chiedendo tutte le informazioni di cui ha bisogno e specificando la sua parcella.

Si richiede massima serietà e professionalità.

[CENTER]Attenzione: cerco collaborazione live in Catania.
[/CENTER]

Salve a tutti, sono un privato che vorrebbe realizzare, con l'aiuto di un collaboratore serio, un portale di Gestione Leghe per il Fantacalcio.

Personalmente sono un Web Designer freelance, abbastanza preparato ma non ancora ai massimi livelli.

Cerco in particolare un programmatore di medio livello con cui realizzare questo progetto e migliorare insieme le proprie conoscenze dei linguaggi che verranno utilizzati: XHTML, PHP/MySql, CSS, JavaScript.

Una volta finito il progetto, si proverà a lanciarlo sul mercato con regolare P.Iva, Registrazioni, ecc

Cerco un collaboratore nella città di Catania per incontri da stabilire in base alla disponibilità.

Per informazioni: [email][email protected][/email] e/o Messaggio Privato tramite forum.

messuno?? O_O

Salve a tutti ragazzi,

mi è stato chiesto da un cliente che i dati inseriti su un form di contatto del sito vengano salvati su un file CSV di Excel piuttosto che inviati tramite E-Mail o salvati in un DB.

il linguaggio che uso è naturalmente PHP.

Ora, fino al recupero dei campi del form non ho problemi: li recupero, li pulisco e ho impostato delle funzioni per fare in modo che ad ogni inizio mese il file nel quale scriverà sara denominato come "contatti_MESE_ANNO".

il mio problema sta nel scrivere all'interno del file i dati e formattare sto benedetto file CSV degnamente.

se utilizzo la funzione fwrite il programma riesce a scrivere nel file, ma mette il testo di ogni campo su una singola CELLA,ma se il testo dovesse prendere più spazio della largehzza della cella il risultato è una vera schifezza.

sapete indicarmi un metodo per preformattare il file CSV alla prima creazione dello stesso (ad inizio mese) e poi inserire i dati correttamente?

non so tipo definire la larghezza di ogni colonna?

grazie mille!

Ciao Van Basten,

Nel mio modulo utilizzo classi e id personali, ma siccome tutto il modulo viene messo in corrispondenza dei DIV della colonna sinistra eredita quelle proprietà CSS

ho proprio un vuoto, nn m iviene in mente nulla

Salve a tutti gente!

Mi trovo davanti ad un grosso problema, spero abbiate tempo e voglia di aiutarmi.

Sto costruendo un Modulo per Joomla 1.5, non tramite HTML Personalizzato naturalmente, da zero.

Il problema è che il modulo essendo inserito nella LeftColumn del template ed in quanto modulo assume delle proprietà CSS dettate dal Foglio Di Stile del template, e NON le proprietà che io ho impostato nel modulo in fase di progettazione.

Come posso agirare il problema? Da considerare anche che questo modulo dovrà essere compatibile con ogni Template e non solo su quello dove lo sto testando.

Un grazie a tutti!

mbhà..

Volevo porvi una domanda..

Secondo voi le sessioni bastano a rendere sicuro il Login e le pagine protette o c'è bisogno anche dei Cookie?

Grazie per le eventuali risposte!

farò domande strane io! nessuno risponde mai!