Ho un pannello di amministrazione in esecuzione su un mysql db. In quel pannello, ho delle caselle di testo che permettono ad un "Admin" di inserire testo semplice o HTML Styling che verrà visualizzato su una sezione del sito che è in diretta. Ad esempio, un utente può inserire quanto segue in una casella di testo Titolo;
<b>The 'Rory' jumped over the moon</b>
Le caselle di testo sono impostate per consentire solo la sintassi html specifica.
Questo impedisce a una shell Web di essere rilasciata sul server web attraverso le caselle di testo?
- C'è un modo per aggirare il filtro?
- Se si manipolano i dati nel DB, consentirebbe l'esecuzione di php?