[Php-it] campi testuali e magic quotes

[Emiliano Gabrielli (aka AlberT)]

On Friday 29 December 2006 00:48, michel wrote:
> Quello che volevo dire è che quando si progetta una qualsiasi
> applicazione/sito web che deve interagire con gli utenti tramite form
> html non ci si deve SOLO preoccupare di quello che gli utenti potrebbero
> scrivere nel form (quindi apici o 1=1; DELETE DATABASE), ma SOPRATTUTTO
> di quello che potrebbe arrivare tramite script automatici, perche' per
> simulare l'invio di un form (method=post) bastano poche righe di curl (a
> quanto leggo in giro).

sono d'accordo sul fatto ma puntualizzerei sul concetto che *non* esiste FORM 
o altro metodo di input dell'utente di cui preoccuparsi ... ogni applicazione 
che prende dati *deve* controllare tali dati, indipendentemente da chi, come, 
con quale mezzo/protocollo/linguaggio di front-end questi possano venire 
inviati ...

ripetendo il concetto in modo forse + chiaro: la mia app non dovrebbe nemmeno 
sapere come e quale sia l'interfaccia utente ... gli arrivano semplicemente 
dei dati ... come e perché non è dato sapere ... ergo validarli ed 
eventualmente utilizzarli (mai sanificarli IMHO)

-- 
<?php echo '     Emiliano Gabrielli (aka AlberT)     ',"\n",
'              socio fondatore del GrUSP             ',"\n",
' AlberT_at_SuperAlberT_it   -   www.SuperAlberT.it  ',"\n",
'  IRC:    #php,#AES azzurra.com ',"\n",'ICQ: 158591185'; ?>