01/09/2014, 21:10
|
| Colaborador | | Fecha de Ingreso: mayo-2012 Ubicación: Somewhere
Mensajes: 1.332
Antigüedad: 12 años, 7 meses Puntos: 320 | |
Respuesta: Aporte: Script para controlar tu sitio sin ftp Hola, gracias por el interes, he estado revisando el tema del xss que mencionas y, (tal vez porque no busque lo suficiente) no he encontrado una razon real para incluir una proteccion como la del aporte mencionado.
El unico "agujero" de seguridad posible, es que el usuario tenga acceso a un documento que esta "mas abajo" o "afuera" del base_path por decirlo de alguno forma, eso solo se puede lograr empleando el nombre de directorio padre generico: ".." la funcion de xss que mencionas, protege de muchos caracteres, pero el "." justamente en particular, no es uno de ellos.
Voy a investigar todos los encodes posibles que hay para ese caracter y a agregarlos a la validacion ya que es algo que no se esta teniendo en cuenta.
__________________ Maratón de desafíos PHP Junio - Agosto 2015 en FDW | Reglamento - Desafios |