Versione delle 17:38, 8 mag 2007 modifica ZeroBot (discussione \| contributi) 506 141 modifiche m Bot: Sostituzione automatica fix vari ← Differenza precedente		Versione delle 15:21, 6 giu 2007 modifica annulla Ary29 (discussione \| contributi) Utenti autoverificati 394 474 modifiche m typo Differenza successiva →
Riga 83: Tutte le possibilità hanno vantaggi e svantaggi, ma bisogna prestare particolare attenzione alla sicurezza se la verifica di validità dell'input viene compiuta prima della conversione da UTF-8. Le forme lunghe (in cui un carattere viene codificato con più byte di quelli strettamente necessari, ma sempre nel rispetto delle regole precedenti) sono uno dei tipi di input che presentano maggiori problemi. Lo standard corrente prescrive che queste forme non vengano decodificate, ma specifiche più vecchie si limitavano a segnalare il problema, e molti ''decoder'' dei più semplici procedono alla decodifica senza nessun messaggio di avvertimento. Le forme lunghe sono state usate per scavalcare i controlli di sicurezza in prodotti di alto profilo, incluso il ''[[web server]]'' [[~~IIS~~Internet Information Services]] (IIS) di [[Microsoft]] Per mantenere la sicurezza nel caso di ''input'' non valido ci sono due opzioni. La prima è di decodificare il codice UTF-8 ''prima'' di fare qualsiasi controllo di validità necessario sull'''input''. La seconda è di usare un ''decoder'' più rigido, che nel caso di ''input'' non valido restituisca un errore o un testo che l'applicazione consideri innocuo.

UTF-8: differenze tra le versioni