[Php-it] Maliciuous code in textarea, help me.

[Alessandro Marinuzzi]

Giginiello ha scritto:
> Ciao a tutti,
> ho ereditato un sito fatto 3 anni fa da un mio ex collega nel quale è
> implementata la seguente funzionalità:
>
> Un utente registrato al sito ha nel suo bookmark personale altri utenti
> registrati e può inviare loro dei messaggi privati compilando un form
> composto da titolo del messaggio e una textarea. Il testo del messaggio
> inviato (contenuto textarea) viene poi visualizzato (incluso) nella pagina
> personale degli utenti a cui è stato inviato.
>
> Il problema è che tale testo non viene affatto controllato all'atto del post
> del form ed il provider su cui è hostato il sito mi ha subito chiamato per
> avvisarmi che ci sono continui tentativi di attacco che sfruttano delle
> inclusioni di testo non controllato.
>
> Ora, data la mia ignoranza in materia, la domanda è: quale tecnica usano per
> sfruttare tale falla di sicurezza e, soprattutto, qual'è il modo migliore
> per validare l'input proveniente da una textarea eliminando ogni potenziale
> codice malizioso?
>
> Grazie in anticipo per l'aiuto.
>   
Io uso questo codice che mi mette al riparo da tutto:

$conv = get_html_translation_table(HTML_ENTITIES, ENT_QUOTES);
$name = strtr($name, $conv);
$topic = strtr($topic, $conv);
$body = strtr($body, $conv);

In pratica ripulisco tutti i possibili campi... prova così... è più
avanzato di strip_tags();

-- 
Alessandro Marinuzzi
--------------------
http://www.alecos.it
--------------------