Ver Mensaje Individual
  #7 (permalink)  
Antiguo 16/03/2010, 06:08
Avatar de AnesGy
AnesGy
 
Fecha de Ingreso: mayo-2009
Mensajes: 518
Antigüedad: 15 años, 6 meses
Puntos: 19
Respuesta: Filtro para Evitar XSS ayuda

Cita:
Pues cualquiera de las dos opciones que no sea en javascript a poder ser, lo que quiero es evitar de forma centralizada que se usen los campos de formulario (Sea cual sea) para introducir palabras que en cierta medida afecten a la SQL
Eso se soluciona usando al sintaxis SQL apropiada:

SELECT * FROM `Mi_Tabla` WHERE `micampo`= 'mivalor';

Sólo tienes que comprobar que las comillas (') se transformen en \' para que no afecten, pero por lo demás el resto no debería influir.

He visto gente k no pone ninguna clase de comillas ni las raras de mysql `(que son acentos agudos, no comillas), ni las otras.


Luego javascript no puede ser un filtro, nunca, ya que puede estar desactivado o que el usuario lo edite (con el Firebug, por ejemplo, se puede). Otra cosa es que javascript sea un filtro visual. Es un coñazo enviar un formulario y que te lo devuelva por que hay un campo ilegal, si javascript te avisa de que el campo no vale, pues lo corriges antes de enviarlo. Pero si algún listillo desactiva javascript, la página debiera devolverte el mensaje de error desde PHP.
__________________
Si alguna vez parece que soy grosero, pido perdón, es un intento fallido de ser directo.

AnesGy SD. Name it, Get it