Ver Mensaje Individual
  #19 (permalink)  
Antiguo 01/09/2014, 21:10
Avatar de NSD
NSD
Colaborador
 
Fecha de Ingreso: mayo-2012
Ubicación: Somewhere
Mensajes: 1.332
Antigüedad: 12 años, 7 meses
Puntos: 320
Respuesta: Aporte: Script para controlar tu sitio sin ftp

Hola, gracias por el interes, he estado revisando el tema del xss que mencionas y, (tal vez porque no busque lo suficiente) no he encontrado una razon real para incluir una proteccion como la del aporte mencionado.

El unico "agujero" de seguridad posible, es que el usuario tenga acceso a un documento que esta "mas abajo" o "afuera" del base_path por decirlo de alguno forma, eso solo se puede lograr empleando el nombre de directorio padre generico: ".." la funcion de xss que mencionas, protege de muchos caracteres, pero el "." justamente en particular, no es uno de ellos.

Voy a investigar todos los encodes posibles que hay para ese caracter y a agregarlos a la validacion ya que es algo que no se esta teniendo en cuenta.
__________________
Maratón de desafíos PHP Junio - Agosto 2015 en FDW | Reglamento - Desafios