Ver Mensaje Individual
  #1 (permalink)  
Antiguo 05/05/2010, 00:17
Avatar de reborn
reborn
 
Fecha de Ingreso: febrero-2010
Mensajes: 440
Antigüedad: 14 años, 9 meses
Puntos: 1
Dudas con strip_tags, htmlentities y htmlspecialchars.

Buenas.
Recien estoy empezando con el tema de darle seguridad al sitio y hay cosas q todavia me cuestan.
Empece con el tema de xss, filtrando las variables q recogen los datos de areas de texto (comentarios) y bueno, al ser novato en este tema, se generan muchas confusiones. Primero porq hay mucho material dando vuelta y segundo porq entro a un sitio donde aconsejan usar un metodo, entro a otro y aconsejan otro y eso a un novato lo enloquece.

Entonces lo q en la mayoria se repite como metodo, son las siguientes funciones:


-strip_tags(): para eliminar toda etiqueta html.

-htmlspecialchars(): q a mi entender se usa para convertir caracteres que se usan para trabajar con HTML.

-htmlentities(): q a mi entender "traduce" aquellos caracteres q tengan un equivalente a HTML.

Entonces se genera la gran pregunta: cual de todas esas funciones usar?

-probe con strip_tags y funciona re bien, pero esta funcion me afectaria si yo quiero usar bbcode?

-con htmlentities tambien probe, lo q pasa q me devuelve exactamente lo q se registra en la bd, si yo pongo <script>alert("hola")</script> o <h1>hola</h1> aparece tal cual y queda desagradable esteticamente.

Bueno, les agradeceria q me despejen esas dudas y asi poder continuar.

Saludos.