Ver Mensaje Individual
  #4 (permalink)  
Antiguo 22/08/2012, 10:40
minombreesmm
 
Fecha de Ingreso: agosto-2012
Ubicación: M.
Mensajes: 2.031
Antigüedad: 12 años, 3 meses
Puntos: 52
Respuesta: Hay alguna forma de reemplazar comillas dobles por espacio?

Cita:
Iniciado por Triby Ver Mensaje
Creo que el problema no es tanto que el usuario pueda colocar un iframe en el texto, lo realmente malo de esto es que no sabes qué cosa pueda poner dentro de ese iframe y supongo que también podrían incluir javascript, busca información acerca de ataques XSS

Debes buscar una alternativa para facilitar a tus usuarios integrar videos de youtube y que no comprometa la seguridad de tu sitio.
Bueno es que la intencion es que el usuario meta el enlace naturalmente como se hace en twitter
por ejemplo lo que eh logrado hasta ahora es que pueda meter estas urls
http://www.youtube.com/v/rd7V6A2bIIw http://www.youtube.com/watch?v=rd7V6A2bIIw&feature=context-gflo http://www.youtube.com/embed/rd7V6A2bIIw http://youtu.be/rd7V6A2bIIw
funciona bien. aunque tenga palabras en medio, siempre y cuand no tenga un enter entre cada url, aun nop resuelvo eso. solo me muestra unas cuantas urls si hay enter.

y bueno yo veo que en twitter si pones un iframe. ignora por completo el iframe.
solo toma la url que hay dentro de el.
eso si lo logro con javascripte en una seccion(que supuestamente es el mismo codigo que uso en la otra) pero ademas el chrome me muestra el resultado del iframe, osea si inserto un iframe, me muestra 2 videos, en el firefoz tambien., pero me muestra el iframe mas aparte los 2 videos.
esta raro. lo que trato de hacer es que no le importe el codigo html que este, si no que solo tome la url y ya. o que el texto sea texto plano, sin formatos. como hacer eso?

Ademas, es que yo hago una limpieza cuando meto datos a la base de datos con esto
Código PHP:
Ver original
  1. function cleanString($string)
  2. {
  3.     $string=trim($string);
  4.     $string=mysql_escape_string($string);
  5.     $string=htmlspecialchars($string);
  6.    
  7.     return $string;
  8. }

Hay algun otro metodo de limpieza?

y si he leido un poco de ataques xss, de hecho practique con mi web y descubri varias vulnerabilidades, pero de mysql, y bueno jejes les di una solucion, solo que se me hace que eso hace mas codigo, pero vale la pena XD

Última edición por minombreesmm; 22/08/2012 a las 10:59