Ver Mensaje Individual
  #10 (permalink)  
Antiguo 03/03/2011, 06:39
Avatar de DeeR
DeeR
 
Fecha de Ingreso: diciembre-2003
Ubicación: Santiago
Mensajes: 520
Antigüedad: 21 años
Puntos: 17
Respuesta: Inyección XSS, Seguridad PHP, Eval, y otras funciones ayuda!!

Te aconsejo los siguientes puntos

1.- Para evitar XSS, trate de codificar a entedidades html (utilizando htmlentities por ejemplo) todas las variables que vas a imprimir en tu vista o utilizar algún sistema de emplantillado como flexy
2.- Para evitar inyecciones SQL, te recomiendo desactivar magic quotes y siempre escarpar las comillas simples según el motor de db (en postgresql,mysql,etc. puedes utilizar un \ para escarpar una comilla ', en sql server, firebird,etc .. utiliza una comilla para escarpar una comilla
3.- Simplemente no uses eval, ya que existe un alto riesgo de que te inyecten cualquier código php, inclusive si son capaces de inyectar comillas inversas a un eval, ya son capaces de ejecutar comandos en el servdir (Execution Operators)

Saludos.