[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Postgresql-it] Postegres output HTML e il WEB
- From: "Riccardo - SCASI" <r.penco@xxxxxxxxxxxx>
- Subject: Re: [Postgresql-it] Postegres output HTML e il WEB
- Date: Wed, 3 Nov 2004 17:15:26 +0100
----- Original Message -----
From: "Gianni Rondinini" <bugbarbeq@xxxxxxx>
> On Wed, 3 Nov 2004 16:18:08 +0100, you wrote:
>
> saro' breve: ci sono almeno 12 modi differenti di entrare nel tuo
> sistema eseguendo una roba tipo quella scritta in precedenza, perche'
> *sicuramente* presto o tardi --piu' probabilmente *prestissimo*--
> qualcuno capira' come funziona l'output in html della tua applicazione
> e passera' al tuo script dei dati tali da scasinarti il database
> oppure entrare nel tuo sistema.
>
> per rendere "sicuro" uno script del genere dovresti fare tanti di quei
> controlli sulla plausibilita' di quello che viene fatto che ci metti
> un quarto del tempo a farti una paginetta in php --perl, python o quel
> che preferisci-- che faccia la stessa cosa e la faccia in modo sicuro.
>
> il motivo per cui in /cgi-bin non ci mette praticamente piu' nulla
> nessuno e' proprio perche' lanciare degli eseguibili sul server e'
> *molto* pericoloso. gli interpreti perl, python, php e simili sono un
> po' meno pericolosi --se uno li tiene aggiornati-- perche' hanno
> possibilita' di fare danni molto piu' limitate --che, al limite,
> finiscono con quello che hai dentro al db--.
>
> saluti.
> --
> Gianni Rondinini
OK
Scusate ma dall'esempio indicato avevo immaginato che il suo intento fosse
di creare dei file statici da mettere sul server http.
Il mio fraintendimento forse e' dovuto al fatto che non sarei capace di
scrivere script bash in grado di fare il parsing dei dati dell'utente finale
e generare pagine ad hoc, per questo mi sembrano mooolto piu' semplici php
et similia.
ciao
riki