holas me han pedido rehacer un libro de visitas en una web, en el cual han estado metiendo código malicioso según ellos, entonces voy a ver el fuente y tienen
formulario :
Código html:
Ver original<form method="POST" action="pagina1.php"> <input type="text" name="nick"><br> <input type="submit" name="enviar" value="Enviar">
y en el php solo tiene
Código php:
Ver original<?php
if (($_POST[nick] != "") && ($_POST[mensaje] !=""))
{
." (nick, comentarios)"
." Values"
." ('$_POST[nick]', '$_POST[mensaje]')") or
die ("Error ".mysql_error()); echo "Se Ingreso tu comentario correctamente";
}
else
{
echo "Debes Ingresar todos los Campos";
}
?>
obiamente le debo aplicar mas restricciones que saltan al a vista, pero mi duda es con addslashes(); por ejemplo ya me evito problemas, y si ademas agrego una funcion tipo
Código php:
Ver originalfunction limpiaCadena ($cadena)
{
return $cadena;
}
con mysql_real_escape_string, ya estaría asegurando mas el formulario a posibles ataques, no se si agregarían algo mas, o me pueden orientar mas al respecto....
ej, antes de ingresar a base de datos
que pasaría si ademas agrego un htmlentities(); por ejemplo, es como mucho, es necesario? y todas esas son mis dudas
pd: agrego que ellos quieren por ejemplo que se vea codigo en el libro como se ve aqui en el foro, solo que no afecte al funcionamiento, digo si escribo <script>alert: ..... por ejemplo no me salte un alert pero que si se vea el codigo que se escribio :/
saludos...