nerthase 2.0 » PHP & MySql

Java: HTTP POST con Socket

nerthase — Sat, 24 Apr 2010 21:39:16 +0000

Come potete vedere nei precedenti articoli riguardanti il Brute Force in Java e i vari metodi di attacco per le password, la sicurezza informatica è uno degli aspetti dell’informatica che preferisco, soprattutto per quanto riguarda la sicurezza in Internet. Vi sembrerà strano, ma non potete immaginare quanta gente dia per scontato il fattore sicurezza mentre naviga in rete, crea account e soprattutto quanto sceglie la password.

Proprio sulla scelta della password vorrei soffermarmi un attimo con una piccola considerazione, basata su dati statistici. Infatti, secondo alcuni studi, la password usata più spesso dagli utenti è la stringa “123456″. Questo dato mi è sembrato sconvolgente, ma posso assicurarvi che è molto realistico. Su questo argomento credo di fare a breve un articolo più approfondito, quindi per ora consideriamo semplicemente l’aspetto che riguarda Java, ed in particolare come fare una richiesta http usando il metodo POST, sfruttando i Socket.

I due argomenti sopra citati sono strettamente collegati, in quanto le applicazioni web sono costruite essenzialmente sfruttando il metodo GET per le varie richieste. Il metodo POST viene usato per elementari requisiti di sicurezza per la trasmissione di dati sensibili, quali appunto username e password al momento del login su un servizio web. Il metodo che vi mostro quindi, può essere appositamente adattato per effettuare un login su un’applicazione web usando Java. Un esempio concreto di ciò, potrebbe essere la creazione di un’applicazione Java che effettua una connessione all’applicazione web per effettuare determinate operazioni.

Solitamente una applicazione web che richiede il login, ha una porzione della pagina che effettua una richiesta POST verso una specifica pagina che si occupa di verificare la correttezza dei dati forniti:

1
2
3
4
5

Per realizzare il nostro scopo, dobbiamo analizzare la pagina specifica, ed annotare la struttura del messaggio inviato tramite POST, e la pagina che riceve i dati, che è specificata nel parametro action dell’elemento form.

Per quanto riguarda la parte Java, questo è un esempio di come realizzare la richiesta POST usando solo le Socket.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.InputStreamReader;
import java.io.OutputStreamWriter;
import java.net.InetAddress;
import java.net.Socket;
import java.net.URLEncoder;

public class SocketPost {
public static void main (String args[]) {
String host = "HOST-WEB-APP";
int port = 80;
String form_action = "PAGINA-DI-LOGIN";

String username = "TUO-USERNAME";
String password = "TUA-PASSWORD";

boolean result = login(host, port, form_action, username, password);
}

private static boolean login (String host, int port, String form_action, String username, String password) throws Exception {
// Dati da inviare tramite POST
// Copmosizione tipica: username=TUOUSER&password=TUAPASSWORD
String data = URLEncoder.encode("username", "UTF-8") + "=" + URLEncoder.encode(username, "UTF-8") + "&" +
URLEncoder.encode("password", "UTF-8") + "=" + URLEncoder.encode(password, "UTF-8");

// Creo il Socket per la connessione all'host
InetAddress addr = InetAddress.getByName(host);
Socket socket = new Socket(addr, port);

BufferedWriter wr = new BufferedWriter(new OutputStreamWriter(socket.getOutputStream(), "UTF-8"));

wr.write("POST " + form_action + " HTTP/1.0\r\n");
wr.write("Host: " + host + "\r\n");
wr.write("Content-Length: " + data.length() + "\r\n");
wr.write("\r\n");

// Invio i dati tramite POST
wr.write(data);
wr.flush();

// Leggo la risposta dall'host
BufferedReader br = new BufferedReader(new InputStreamReader(socket.getInputStream()));

// Solitamente, in caso di pagine di login,
// il codice di risposta per un login valido è 302
if (br.readLine().equals("HTTP/1.1 302 Found")) return true;
else return false;

wr.close();
br.close();
}
}

Prima di poter essere in grado di riempire il codice Java, bisogna analizzare il sito presso il quale si vuole effettuare il login, per estrapolare tutti i dati necessari. Questa operazione non richiede un particolare sforzo, ma un minimo di esperienza è sempre d’obbligo. Se avete bisogno di una mano, potete chiedere tranquillamente. Il metodo su illustrato è stato realizzato solo a scopo illustrativo e deve essere utilizzato solo in possesso delle credenziali di accesso, e non per scopi malevoli.

Hacking: SQLInjection con SqlMap

nerthase — Tue, 30 Mar 2010 21:19:44 +0000

Molte volte ci addentriamo nel mondo del Web, nella creazione di un proprio spazio personale che piano piano si evolve, ma non sempre adottiamo le giuste precauzioni ed i giusti accorgimenti per quanto riguarda la sicurezza. In questi casi, ci viene in aiuto sqlmap, un ottimo tool per l’analisi delle vulnerabilità presenti in molte applicazioni web che fanno uso di database SQL.

Introduzione a SQLmap

SQLmap è in grado di automatizzare il processo di analisi di vulnerabilità o exploit ai quali sono soggetti tantissimi server web. SQLmap è scritto in Python, il che lo rende indipendente dal sistema operativo utilizzato. Per funzionare, richiede solo in interprete Python in versione maggiore o uguale alla 2.5. Ho già introdotto in precedenti articoli (Hacking: SQL Injection, Difesa contro l’SQL Injection) il concetto di SQLInjection, tutti i pericoli che ne derivano e come difendersi progettando bene la propria applicazione web; ora vediamo come SQLmap riesce nell’analisi di SQLInjection in modo automatico e preciso. SQLmap implementa tre tecniche per l’analisi di vulnerabilità per l’SQL Injection:

Inferential blind SQL injection, also known as boolean based blind SQL injection: sqlmap appends to the affected parameter in the HTTP request, a syntatically valid SQL statement string containing a SELECT sub-statement, or any other SQL statement whose the user want to retrieve the output. For each HTTP response, by making a comparison based upon HTML page content hashes, or string matches, with the original request, the tool determines the output value of the statement character by character. The bisection algorithm implemented in sqlmap to perform this technique is able to fetch each output character with at maximum seven HTTP requests. This is sqlmap default SQL injection technique.
UNION query (inband) SQL injection, also known as full UNION query SQL injection: sqlmap appends to the affected parameter in the HTTP request, a syntatically valid SQL statement string starting with a UNION ALL SELECT. This techique is useful if the web application page passes the output of the SELECT statement to a for cycle, or similar, so that each line of the query output is printed on the page content. sqlmap is also able to exploit partial (single entry) UNION query SQL injection vulnerabilities which occur when the output of the statement is not cycled in a for construct whereas only the first entry output is displayed. This technique is much faster if the target url is affected by because in a single HTTP response it returns the whole query output or a entry per each response within the page content. This SQL injection technique is an alternative to the first one.
Batched (stacked) queries support, also known as multiple statements support: sqlmap tests if the web application supports stacked queries then, in case it does support, it appends to the affected parameter in the HTTP request, a semi-colon (;) followed by the SQL statement to be executed. This technique is useful to run SQL statements other than SELECT like, for instance, data definition or data manipulation statements possibly leading to file system read and write access and operating system command execution depending on the underlying back-end database management system and the session user privileges.

Uso di SQLmap

SQLmap è un tool molto potente quanto sofisticato. Il suo uso non è molto semplice ed immediato, ma vediamo di imparare ad usarlo con una guida passo passo. Ricordo che è possibile trovare un manuale molto completo sul sito ufficiale del progetto. Un primo sguardo all’uso del programma, può essere ottenuto con il comando python sqlmap.py -h da digitare nel proprio Terminale in Mac OS X o in una qualsiasi console di comando di un sistema operativo Linux o Windows. Questo comando restituisce una lista molto completa e dettagliata di tutti le opzioni di uso del programma.

Un’opzione molto valida è quella di ottenere un output del programma, analizzando i vari livelli di output. I livelli di verbosity (opzione -v) disponibili sono:

python sqlmap.py -u "http://172.16.213.131/sqlmap/mysql/get_int.php?id=1" -v 1

python sqlmap.py -u "http://172.16.213.131/sqlmap/mysql/get_int.php?id=1" -v 2

python sqlmap.py -u "http://172.16.213.131/sqlmap/mysql/get_int.php?id=1" -v 3

python sqlmap.py -u "http://172.16.213.131/sqlmap/mysql/get_int.php?id=1" -v 4

python sqlmap.py -u "http://172.16.213.131/sqlmap/mysql/get_int.php?id=1" -v 5

L’opzione -u specificata nel comando precedente è obbligatoria e serve per specificare l’indirizzo da analizzare. Alternativamente, può essere usata l’opzione –url.

python sqlmap.py --url "http://172.16.213.131/sqlmap/mysql/get_int.php?id=1"

Un’altra modalità di analisi, che non includa direttamente l’indirizzo web del sito da analizzare, è quella di specificare un file contenente una richiesta HTTP valida, che quindi SQLmap effettuerà analizzando i risultati (opzione -r). In questo caso, deve esistere un file contenente la richiesta HTTP in questo modo:

POST /sqlmap/mysql/post_int.php

HTTP/1.1 Host: 172.16.213.131

User-Agent: Mozilla/4.0

id=1

e quindi l’applicazione SQLmap dovrà essere eseguita nel modo seguente:

python sqlmap.py -r request.txt

Una funzionalità ancora più interessante, consiste nell’analizzare un intero sito web, alla ricerca di tutte le possibili vulnerabilità. Questa feature è possibile grazie all’appoggio di Google, che è in grado di restituire risultati relativi ad un singolo dominio specificando ulteriori opzioni (opzione -g del programma SQLmap). Il comando diventa quindi:

python sqlmap.py -g "site:yourdomain.com ext:php" -v 1

In questo caso SQLmap analizzerà i primi 100 risultati di Google relativi al dominio specificato, alla ricerca di risultati che contengano al loro interno richieste GET, in modo da poter verificare la presenza di possibili vulnerabilità.

SQLmap non è in grado di analizzare solo applicazioni web che fanno uso di richieste GET, ma anche quei servizi che per maggiore protezione, fanno uso di richieste POST. In questo caso entrano in gioco le opzioni –method e –data di SQLmap:

python sqlmap.py -u "http://test-site.it/test-page.php" --method POST --data "id=1"

Queste sono solo alcune situazioni di utilizzo di SQLmap, è possibile trovarne altre sul manuale ufficiale presente sul sito web del programma. Di seguito uno dei video ufficiali per l’uso del programma disponibili anch’essi sul sito web del programma:

Difesa contro l’SQL Injection

nerthase — Mon, 22 Mar 2010 21:48:33 +0000

Nel precedente articolo vi ho descritto la tecnica dell’SQL Injection, la sua pericolosità e le sue potenzialità. Ora, vediamo come è possibile adottare opportuni accorgimenti per difenderci contro questo attacco.

La tecnica dell’SQL Injection nasce dal fatto che è possibile introdurre codice malevolo all’interno di normali campi di testo. Evitare ciò non è di solito possibile, però è sicuramente possibile (quasi doveroso) effettuare un controllo sui dati che l’utente immette in questi campi. Vediamo di seguito un paio di tecniche che è possibile adottare per rendere innocui anche i tentativi maliziosi.

Magic Quotes

Nelle impostazioni di PHP, ce n’è una adatta al caso nostro. Si tratta del flag magic_quotes_gpc presente nel file di configurazione php.ini. Abilitando questo flag, si è garantiti che tutti i dati ricevuto tramite GET, POST e COOKIE saranno automaticamente controllati, ed eventualmente convertiti, prima di essere usati nei vostri script PHP. Vedete quindi, che con un semplice passaggio, si è assolutamente protetti contro ogni tipo di attacco SQL Injection. Di seguito la porzione del file php.ini relativa a questa funzione.

1
2
3
4
5
6
7
8

; Magic quotes
;
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = On
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = Off
; Use Sybase-style magic quotes (escape ' with '' instead of \').
magic_quotes_sybase = Off

Tuttavia, molti servizi di hosting hanno di default questo flag ad OFF, con l’impossibilità di impostarlo su ON. Quando accade ciò, bisognerà fare manualmente, in fase di programmazione, il controllo di tutti i dati ottenuti dall’esterno, ed eventualmente la conversione dei caratteri speciali. Questo è di norma ciò che accade, e vediamo come è possibile realizzarlo.

Escape dei caratteri speciali

Quando si compongono query SQL usando dati forniti dall’utente, è sempre opportuno convertire i caratteri speciali presenti in questi dati, in caratteri innocui per il database SQL. Ad esempio, la stringa l’attacco se inserita così come è in una query SQL, causerà un errore dovuto alla presenza del carattere ‘ (apice singolo). Effettuando un escape dei caratteri speciali, la stringa sarà convertita in l\’attacco, e quindi il carattere ‘ non sarà più pericoloso, perchè il motore SQL interpreta la sequenza \’ come un unico carattere, che non sarà confuso con il carattere ‘.

In PHP questo è possibile attraverso la funzione mysql_real_escape_string($stringa_pericolosa). Questa funzione effettua esattamente i controlli precedentemente illustrati e le relative sostituzioni, non solo per il carattere ‘ (apice singolo) ma per tutti i caratteri speciali ritenuti pericolosi. L’utilizzo di questa funzione è altamente raccomandato su tutti i dati ricevuti da un utente esterno, proprio per evitare l’introduzione di codice malevolo all’interno delle proprie applicazioni.

PHP Manual: mysql_real_escape_string

Con questo articolo spero di aver chiarito l’introduzione all’SQL Injection fatta nel precedente articolo, e di avervi convinto a progettare bene fin dall’inizio il codice delle vostre applicazioni.

Hacking: SQL Injection

nerthase — Sun, 21 Mar 2010 21:36:01 +0000

Tutti coloro che hanno lavorato almeno una volta con un database, soprattutto per quanto riguarda la gestione di utenti e relative password, sapranno che la tecnica più diffusa per appropriarsi di dati sensibili, è la tecnica chiamata Sql Injection.

La SQL injection è una tecnica dell’hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL. Questo exploit sfrutta l’inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all’interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il programmatore: l’Sql Injection permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d’accesso) e di visualizzare e/o alterare dati sensibili.

Di seguito un esempio concreto per valutare le caratteristiche e la pericolosità di questa tecnica, con i seguenti componenti:

db_name – Questo è il database al quale faremo riferimento;
users – Questa è la tabella all’interno del DB che conterrà i dati degli utenti, in particolare username e password;
login.php – Pagina php contenente un semplice script per verificare se l’username e password forniti sono corretti (quindi sono all’interno del DB);
form.html – Pagina html che chiede i dati (username e password) tramite browser e richiama lo script php.

Vediamo dapprima il codice della pagina form.html che contiene un semplice form per la richiesta di username e password:

1
2
3
4
5

<form action='login.php' method='post'>
Username: <input type='text' name='username' />
Password: <input type='password' name='password' />
<input type='submit' value='Login' />
</form>

Di sopra ho trascritto solo la parte della pagina html contenente il form, che ha solo due campi, uno per l’username e uno per la password. L’azione del form, è impostata per richiamare la pagina login.php che recupererà i dati immessi tramite $_POST['user'] e $_POST['pwd']. Dopo aver ricevuto questi dati, lo script PHP interagisce con il database per verificarne la validità. Ecco quindi il codice della pagina login.php:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

// CONNESSIONE AL DATABASE
$connessione = mysql_connect("db_address","db_username","db_password") or die("Errore!!");

// SELEZIONE DEL DATABASE
mysql_select_db("db_name", $connessione) or die("Errore!!");

// PREPARO LA QUERY
$query = "SELECT * FROM users WHERE username='".$_POST['username']."' AND password='".$_POST['password']."'";

// ESEGUO LA QUERY
$sql = mysql_query($query, $connessione);

// CONTO IL NUMERO DI RISULTATI TROVATI
// 1. I DATI SONO VALIDI
// 0. DATI NON VALIDI
if( mysql_affected_rows($sql) > 0 ) {
echo "LOGIN ESEGUITO CON SUCCESSO";
} else {
echo "DATI NON CORRETTI";
}
?>

La tecnica di hackin Sql Injection consiste proprio nell’inviare allo script PHP dati maligni tramite il form in HTML. In questo caso, basta immettere per esempio come username nerthase e come password ‘OR ’1′=’1 per accedere con le credenziali dell’utente nerthase (ammesso che esso esista). La query per il database diventa quindi:

SELECT * FROM users WHERE username='nerthase' AND password='' OR '1'='1'

La clausola WHERE è sempre soddisfatta, in quanto la seconda parte di essa, che è in OR, è sempre verificata. L’attaccante quindi, è riuscito ad effettuare l’accesso con l’account nerthase anche senza conoscere la relativa password. Questa tecnica è molto diffusa tra la comunità Hacker, e soprattutto tra i dilettanti che si avvicinano per la prima volta a questo mondo. L’unica possibilità per evitare questo tipo di attacco, è un controllo sui dati ricevuti nello script PHP. Questo può essere fatto in diversi modi, a seconda delle necessità dell’applicazione:

forzare il tipo dei dati ricevuti (se ci si aspetta un valore numerico, considerare validi solo input numerici;
effettuare l’escape dei dati ricevuti (ogni linguaggio, solitamente, mette a disposizione particolari strumenti per questo scopo);
criptare le credenziali di accesso prima di inserirle nella query SQL (evitare che le informazioni sensibili siano memorizzate nel DB in chiaro).

Questi metodi possono essere anche combinati al fine di rafforzare la sicurezza dell’applicazione. Occorre, quindi, prestare particolare attenzione a tutte le varianti di un input, tenendo conto di ogni possibile (oppure improbabile) ipotesi. Potete approfondire questo argomento, per quanto riguarda la protezione contro l’SQL Injection nel relativo articolo.

MySQL con Java grazie a JDBC

nerthase — Tue, 09 Mar 2010 20:55:35 +0000

Nei miei ultimi esperimenti con Java, mi è capitato di dover interagire con database MySQL. Per la parte che riguarda il database, ho sempre usato MAMP, un ottimo programma che gestisce in una semplice interfaccia grafica, Apache, MySQL e PHP.

Per far comunicare Java ed il database MySQL c’è bisogno di un driver, in particolare ho usato JDBC. Un esempio di utilizzo del driver è il seguente:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class DataBaseTest {
public static void testDB () throws Exception {
// Carico il Driver
Class.forName("com.mysql.jdbc.Driver");

// Connetto al Database (URL DB, USER, PWD)
Connection db = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "root");

// Creo uno Statement per l'invio della query
Statement s = this.db.createStatement();

// Invio la query e catturo i risultati
ResultSet rs = s.executeQuery("SELECT nome FROM tabella WHERE nick = 'nerthase'");
boolean o = rs.first();

// In caso non siano stati trovati risultati, inserisco l'entry nel database
if (!o) s.executeUpdate("INSERT INTO tabella (nome, nick) VALUES ('mario', 'nerthase')");
s.close();
}
}

Questo codice, implica che sia stato creato un database chiamato test con una tabella chiamata tabella costituita da almeno due campi chiamati nome e nick. Il particolare questo piccolo esempio di codice, verifica se nella tabella è presente una entry che verifica la condizione nick = ‘nerthase’, ed in caso questa non è presente, inserisce la entry completa corrispondente. Un esempio di tabella usata per il test potrebbe essere il seguente:

nome	nick
silvia	moonny
fabio	noeffex
mario	nerthase

Questa è la mia prima esperienza con MySQL e soprattutto per l’integrazione con Java. Questo metodo però funziona molto bene, senza alcun errore, almeno per il momento. Per consigli o chiarimenti non esitate a contattarmi.

Regex Tester – RegexPal

nerthase — Thu, 28 Jan 2010 17:18:09 +0000

Proviamo in tempo reale le nostre espressioni regolari con Regex Tester.

Spesso nei miei esperimenti, ho bisogno di ricorrere alle espressioni regolari per catturare una particolare sequenza di caratteri, da una stringa di dimensioni più elevate.

Per fare questo in Java ci sono le classi Pattern e Matcher, che richiedono come input la stringa originale, e l’espressione regolare. L’uso di queste classi è semplice ed immediato, ma non sempre è altrettanto semplice ed intuitivo, capire perché un’espressione regolare non svolge correttamente il suo lavoro.

Ho quindi scoperto Regex Tester, un sito web che permette di testare in tempo reale gli effetti di un’espressione regolare. Abbiamo a disposizione una guida rapida all’uso ed alla scrittura di espressioni regolari, e possiamo anche personalizzare il comportamento di alcuni caratteri speciali dell’espressione regolare.

Fino a poco tempo fa non conoscevo nemmeno cosa fossero le espressioni regolari, ma vi assicuro che una volta che avete imparato ad utilizzarle, non ne potete fare più a meno.

Vediamo come Regex Tester può essere utilizzato per ovviare ad un problema molto comune, come può essere quello di estrarre da un testo, tutti gli indirizzi email che contiene. L’espressione regolare che uso in questo caso è:

[a-zA-Z0-9_\.]+@[a-zA-Z0-9-]+\.[a-zA-Z]{0,4}

Vediamo quindi Regex Tester come ci aiuta nel testare se l’espressione regolare restituisce quello che vogliamo. Per fare questo, prendo in considerazione una porzione di codice HTML rappresentante una tabella che contiene in una colonna degli indirizzi email.

Possiamo quindi verificare la correttezza dell’espressione regolare, e soprattutto il comportamento che ci aspettavamo.

Se avete dei dubbi sulla formulazione di una espressione regolare, di come interagire con esse in Java o Php non esitate a chiedere.

Google Data API

nerthase — Wed, 27 Jan 2010 08:46:48 +0000

Google Data Protocol è un protocollo che deriva da REST ed il suo scopo è quello di interfacciare applicazioni di terze parti con gli applicativi Google.

Insieme ad alcuni amici dell’Università, stiamo sviluppando un progetto in cui è necessario interfacciarsi con YouTube. Le API di Google ci sono venute in soccorso per ogni problema o dubbio incontrato.

Le API di Google sono sviluppate per diversi linguaggi di programmazione (HTML, XML, Java, Php, .Net e Pynthon) e supportano tutti gli applicativi di Google; potete trovare un elenco completo nell’apposita API Directory di Google.

Tutte le API sono ben fatte, funzionanti e soprattutto ben documentate. Per chi come me usa Eclipse, sviluppare un progetto usando le API di Google sarà ancora più facile. Ci sono infatti guide su come configurare un progetto di Eclipse, su come integrare le API ed esempi di codice già pronti.

Attualmente io sto usando solo le API di YouTube, e gli esempi di codice messi a disposizione mi sono stati più che sufficienti. Davvero un ottimo lavoro da parte di Google.

Redirect & SEO

nerthase — Wed, 20 Jan 2010 22:53:59 +0000

Rieccomi nuovamente alle prese con un articolo per voi… Questa volta parliamo di come i motori di ricerca gestiscono i reindirizzamenti delle pagine Web. In particolare vi parlo del redirect 301 che indica che una risorsa è stata spostata permanentemente. Il redirect 301 è usato nel caso in cui si voglia far puntare un vecchio indirizzo ad un nuovo indirizzo, senza invalidare i link che facevo riferimento al vecchio indirizzo. Nel caso del mio blog, ho usato il redirect 301 per far puntare l’indirizzo http://www.nerthase.com all’indirizzo http://www.nerthase.com/blog.

Veniamo al dunque, ed illustriamo i vari metodi per implementare un redirect 301:

Redirect PHP

Se si vuole far redigere l’indirizzo www.miosito.it all’indirizzo www.mionuovosito.it basterà posizionare all’interno della directory principale del primo sito un file index.php con all’interno queste semplici righe di codice:

Header( "HTTP/1.1 301 Moved Permanently" );
Header( "Location: http://www.mionuovosito.it" );
?>

In questo modo tutti i link che prima erano diretti a www.miosito.it verranno rediretti verso www.mionuovosito.it.

Redirect ASP

Il ragionamento è identico al caso precedente, ma si riferisce a pagine ASP:

<%
Response.Status = "301 Moved Permanently"
Response.AddHeader "Location", "http://www.mionuovosito.it"
%>

Redirect HTML

Nel caso in cui si abbia a che fare con pagine HTML, o il server su cui ci si appoggia è talmente ridicolo che non supporta altri linguaggi (scherzo… ), si può ricorrere al redirect HTML, inserendo all’interno della sezione head il metatag che segue:

In questo caso si può impostare il tempo dopo il quale effettuare il redirect alla nuova pagina, cambiando il valore che qui appare come 0.

Redirect .htaccess

Se il nostro sito è ospitato da un server Apache, ed abbiamo la possibilità di editare il file .htaccess, è possibile modificare questo file per effettuare il redirect. Basterà aggiungere nel file .htaccess situato in www.miosito.it la riga:

Redirect 301 / http://www.mionuovosito.com/

In questo caso l’intero sito sarà redirezionato verso il nuovo sito. Nel caso si voglia redirezionare solo una pagina, o una sezione del sito, è possibile inserire:

Redirect 301 /vecchiasezione/ http://www.mionuovosito.com/nuovasezione/

Il redirect preferito dai motori di ricerca è quello che utilizza il file .htaccess, che però impone alcune limitazioni sull’utilizzo del vecchio sito. Se si posiziona il file .htaccess nella radice del vecchio sito, non sarà più possibile accedervi tramite browser, nemmeno per tenerlo come disco virtuale. Per questo io ho utilizzato un redirect PHP dal sito www.nerthase.net verso il sito www.nerthase.com. In questo modo posso avere il sito www.nerthase.net come disco virtuale.