La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Laboratorio 4: PHP e MySQL

PubblicatoDorotea Donato Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "Laboratorio 4: PHP e MySQL"— Transcript della presentazione:

1 Laboratorio 4: PHP e MySQL
Devis Bianchini – Fondamenti di Informatica B 2008/2009 Programmazione Web Laboratorio 4: PHP e MySQL Informazione 1 1 1

2 Lavagna elettronica (I)
Un’unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi membro del gruppo formula una linea di azione un secondo membro ne prende visione e, se la approva in pieno, formula una proposta identica, altrimenti propone una variante e così via a seguire per gli altri membri … non appena una proposta identica viene formulata dalla metà più uno dei componenti, la decisione viene presa e segnalata sulla lavagna a tutti i membri; una mail con la decisione presa deve essere indirizzata all’amministratore del sito (si scelga, a titolo esemplificativo, il proprio indirizzo ), indicando come mittente Programmazione Web - Esercizi PHP 2 2 2

3 Lavagna elettronica (II)
La soluzione proposta è quella di una lavagna elettronica Sala riunioni ore 20 Casa Rossi, ore 15 Sala riunioni ore 19 Programmazione Web - Esercizi PHP 3 3 3

4 Lavagna elettronica (III)
Ciascun membro può leggere la lavagna tramite il Web, verificare se è già stata presa una decisione (nel qual caso eventuali proposte vengono ignorate) e inviare la propria proposta, che come tutte le altre verrà visualizzata in forma anonima Lavagna.html Sezione dinamica, aggiornata ad ogni invio di proposta Sezione statica, per l’invio di ogni proposta. Programmazione Web - Esercizi PHP 4 4 4

5 …e se si raggiunge l’accordo
Lavagna.html Programmazione Web - Esercizi PHP 5 5 5

6 Lavagna elettronica (IV)
I partecipanti sono identificati tramite e preliminarmente inseriti in un database Programmazione Web - Esercizi PHP 6 6 6

7 Programmazione Web - Esercizi PHP
La pagina Lavagna.html Programmazione Web - Esercizi PHP 7 7 7

8 Programmazione Web - Esercizi PHP
Lo script lavagna.php Lo script formRicevi.php si basa sulla classe Lavagna.php composta da quattro metodi statici, ciascuno dei quali effettua una connessione, esegue un’opportuna query e chiude la connessione Programmazione Web - Esercizi PHP 8 8 8

9 Iniezione di codice SQL (I)
L’iniezione di codice SQL è una tecnica di attacco che sfrutta i campi di input per inserire codice SQL dannoso, ottenendo informazioni private o alterando il database Per esempio: ‘ OR ‘’=‘ Posso accedere senza conoscere la password dell’utente ‘Devis’ Programmazione Web - Esercizi PHP 9 9 9

10 Iniezione di codice SQL (II)
L’iniezione di codice SQL è una tecnica di attacco che sfrutta i campi di input per inserire codice SQL dannoso, ottenendo informazioni private o alterando il database Per esempio: Altri valori catastrofici per il campo ‘username’ Programmazione Web - Esercizi PHP 10 10 10

11 Evitare iniezione di codice SQL
Esistono diverse tecniche per prevenire l’iniezione di codice SQL, tra le quali: tecniche che prevedono di effettuare modifiche nel file php.ini tecniche che prevedono il controllo degli input dell’utente eliminandone o manipolandone caratteri speciali come i singoli apici, applicabili a qualsiasi input tecniche che prevedono di irrobustire il codice tramite l’uso di casting ed espressioni regolari, applicabili a tipi particolari di input Programmazione Web - Esercizi PHP 11 11 11

12 Modifica del file php.ini
Una prima soluzione è quella di modificare direttamente il file di configurazione php.ini, attivando le magic quotes Questa opzione inserirà il carattere di escape davanti a tutti gli apici contenuti in COOKIE, POST e GET Questa soluzione potrebbe tuttavia non essere ottimale: potrebbe causare incompatibilità con molte altre applicazioni Web non viene attivata nessuna protezione su input che non provengono da COOKIE, GET o POST Programmazione Web - Esercizi PHP 12 12 12

13 Gestione dell’input dell’utente
Un altro modo per prevenire l’iniezione di codice SQL è quello di utilizzare funzioni per la manipolazione delle stringhe: la funzione addslashes() che esegue il quoting di una stringa mediante slash la funzione htmlentities() che converte i caratteri speciali in entità HTML la funzione mysql_escape_string() che aggiunge sequenze di escape in una stringa per l’uso in mysql_query() Programmazione Web - Esercizi PHP 13 13 13

14 Controllo del tipo di input
Infine, vengono utilizzate tecniche per controlli specifici sul tipo di input se un input deve essere un numero intero, viene utilizzato is_numeric per verificarlo e, in caso positivo, viene convertito con intval() o con funzioni analoghe se un input è una stringa, vengono usate le espressioni regolari per escluderne caratteri speciali Programmazione Web - Esercizi PHP 14 14 14

15 Programmazione Web - Esercizi PHP
Suggerimenti Il materiale necessario allo svolgimento dell’esercizio è reperibile al seguente indirizzo 2015/Laboratori/Lab4 Per inviare una mail in PHP, utilizzare la funzione mail() dopo aver opportunamente settato il file php.ini come specificato di seguito Programmazione Web - Esercizi PHP 15 15 15

Scaricare ppt "Laboratorio 4: PHP e MySQL"

Presentazioni simili

UNO STRUMENTO PER INTERAGIRE CON GLI UTENTI DELLE PAGINE WEB

UNO STRUMENTO PER INTERAGIRE CON GLI UTENTI DELLE PAGINE WEB
Pratiche edilizie on-line

Pratiche edilizie on-line
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (www.tissino.it)

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
DBMS (DataBase Management System)

DBMS (DataBase Management System)
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
PHP.

PHP.
IL LINGUAGGIO HTML Il linguaggio html. Il linguaggio html. Utilizzo dei tag. Utilizzo dei tag. Script Browser I link I link Caricamento dei dati sul server.

IL LINGUAGGIO HTML Il linguaggio html. Il linguaggio html. Utilizzo dei tag. Utilizzo dei tag. Script Browser I link I link Caricamento dei dati sul server.
Mantenimento dello stato Laboratorio Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -

Mantenimento dello stato Laboratorio Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
Connessione con MySQL.

Connessione con MySQL.
Analisi e Contromisure di tecniche di Sql Injection

Analisi e Contromisure di tecniche di Sql Injection
Interazione tra basi di dati e web

Interazione tra basi di dati e web
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.

UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
Esercitazione 5 MySQL Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -

Esercitazione 5 MySQL Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
Esercitazione 6 MySQL Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -

Esercitazione 6 MySQL Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
Servizi Consolari Online

Servizi Consolari Online
Corso di Informatica A.A. 2010-2011 Corso di Informatica Laurea Triennale - Comunicazione&Dams Dott.ssa Adriana Pietramala Laurea.

Corso di Informatica A.A Corso di Informatica Laurea Triennale - Comunicazione&Dams Dott.ssa Adriana Pietramala Laurea.
Corso di Informatica A.A. 2010-2011 Corso di Informatica Laurea Triennale - Comunicazione&Dams Dott.ssa Adriana Pietramala Laurea.

Corso di Informatica A.A Corso di Informatica Laurea Triennale - Comunicazione&Dams Dott.ssa Adriana Pietramala Laurea.
CORSO DI INFORMATICA LAUREA TRIENNALE-COMUNICAZIONE & DAMS

CORSO DI INFORMATICA LAUREA TRIENNALE-COMUNICAZIONE & DAMS
Corso di Informatica A.A

Corso di Informatica A.A

Presentazioni simili

Annunci Google