124 messaggi dal 20 marzo 2003
Nel mio caso non potrei in quanto non è uno script da eseguire subito ma uno script che verrà eseguito in pagina a seguito di un click . Questo fa si che avrei una situazione simile :

ExecuteMyFunction (par1,par2,escape('dfgdfgdfg'dfgdfg''));

sarebbe andata bene se avessi scritto :

escape(myControlOnPage.value);

ma dovendo buttargli dentro un testo come parametro all'escape e non una property string di un controllo, la sintassi non viene compilata.
12 messaggi dal 23 maggio 2002
Forse dico una cavolata ma non ti conviene fare un controllo sulla stringa che devi inserire nello script?

Fai un replace di tutti i caratteri speciali che ci possono essere...

E quando sei sicura che è pulita la metti nello script...
124 messaggi dal 20 marzo 2003
è quello che ho fatto infatti.
Ma dove la trovo una lista completa di caratteri che danno noia in una stringa e relativo carattere sostitutivo di escape ?
12 messaggi dal 23 maggio 2002
Bè non sono poi così tante...

' apice
" doppio apice
/ Slash
\ BackSlash
Sono le più pericolose...
poi se vuoi essere pignola gli fai togliere pure queste...

$
&
{
}

e cmq non le devi togliere, basta raddoppiarle per evitare
che un malintenzionato riesca ad eseguire qlc script maligno...

Di solito chi vuole eseguire un script maligno tenta di inserire nella stringa un apice singolo (') per chiudere lo script e far eseguire le sue istruzioni, se tu raddoppi l'apice eviterai questo problema...

Non so se il ragionamento è giusto, ma a me ha sempre funzionato, nel senso che non ho avuto mai problemi...

Prova a fare un pò di prove...

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.