Re: [Postgresql-it] Postegres output HTML e il WEB
- From: Gianni Rondinini <bugbarbeq@xxxxxxx>
- To: postgresql-it@xxxxxxxxxxxxxxxxx
- Date: Wed, 03 Nov 2004 16:56:12 +0100
On Wed, 3 Nov 2004 16:18:08 +0100, you wrote:
ci ho pensato, ma non capisco perche' :)
saro' breve: ci sono almeno 12 modi differenti di entrare nel tuo
sistema eseguendo una roba tipo quella scritta in precedenza, perche'
*sicuramente* presto o tardi --piu' probabilmente *prestissimo*--
qualcuno capira' come funziona l'output in html della tua applicazione
e passera' al tuo script dei dati tali da scasinarti il database
oppure entrare nel tuo sistema.
per rendere "sicuro" uno script del genere dovresti fare tanti di quei
controlli sulla plausibilita' di quello che viene fatto che ci metti
un quarto del tempo a farti una paginetta in php --perl, python o quel
che preferisci-- che faccia la stessa cosa e la faccia in modo sicuro.
il motivo per cui in /cgi-bin non ci mette praticamente piu' nulla
nessuno e' proprio perche' lanciare degli eseguibili sul server e'
*molto* pericoloso. gli interpreti perl, python, php e simili sono un
po' meno pericolosi --se uno li tiene aggiornati-- perche' hanno
possibilita' di fare danni molto piu' limitate --che, al limite,
finiscono con quello che hai dentro al db--.
saluti.
--
Gianni Rondinini
Icem s.r.l. -
http://www.icem.it
Tel: +39 0545 78036
Fax: +39 0545 78727
Other related posts:
