Foros del Web - Ver Mensaje Individual

kaninox · #1 (**permalink**) 23/06/2009, 21:34

holas me han pedido rehacer un libro de visitas en una web, en el cual han estado metiendo código malicioso según ellos, entonces voy a ver el fuente y tienen

formulario :

Código html:

Ver original<form method="POST" action="pagina1.php">
<input type="text" name="nick"><br>
<textarea name="mensaje"></textarea><br>
<input type="submit" name="enviar" value="Enviar">
</form>

y en el php solo tiene

Código php:

Ver original<?php
if (($_POST[nick] != "") && ($_POST[mensaje] !=""))
{
mysql_query ("INSERT INTO libro"
                ." (nick, comentarios)"
                ." Values"
                ." ('$_POST[nick]', '$_POST[mensaje]')") or die ("Error ".mysql_error());
echo "Se Ingreso tu comentario correctamente";
}
else
{
echo "Debes Ingresar todos los Campos";
}
?>

obiamente le debo aplicar mas restricciones que saltan al a vista, pero mi duda es con addslashes(); por ejemplo ya me evito problemas, y si ademas agrego una funcion tipo

Código php:

Ver originalfunction limpiaCadena ($cadena)
{
if (!get_magic_quotes_gpc())
$cadena=mysql_real_escape_string($cadena);
return $cadena;
}

con mysql_real_escape_string, ya estaría asegurando mas el formulario a posibles ataques, no se si agregarían algo mas, o me pueden orientar mas al respecto....

ej, antes de ingresar a base de datos

Código php:

Ver original$usuario = limpiaCadena(addslashes($_POST[nick]));
$mensaje = limpiaCadena(addslashes($_POST[mensaje]));

que pasaría si ademas agrego un htmlentities(); por ejemplo, es como mucho, es necesario? y todas esas son mis dudas

pd: agrego que ellos quieren por ejemplo que se vea codigo en el libro como se ve aqui en el foro, solo que no afecte al funcionamiento, digo si escribo <script>alert: ..... por ejemplo no me salte un alert pero que si se vea el codigo que se escribio :/

saludos...