Ver Mensaje Individual
  #1 (permalink)  
Antiguo 08/05/2019, 04:05
schattenburg
 
Fecha de Ingreso: junio-2007
Mensajes: 298
Antigüedad: 17 años, 6 meses
Puntos: 5
Evitar javascript injection en PHP

Hola a todos.-

Tengo por ejemplo esta url:

www.midominio.com/resultado.php?mensaje=hola

Pero por ejemplo alguien malintencionado podría cambiar la url para meter javascript injection:

www.midominio.com/resultado.php?mensaje=<h1 onmouseover=alert(1)>alertaXSS</h1>

Para evitarlo he puesto en resultado.php:

$_GET["mensaje"] = strip_tags($_GET["mensaje"]);

Y así ya me funciona perfectamente y ya solo me escribe el mensaje al eliminar todo el HTML.

Pero por si acaso me gustaría para darle más seguridad poder eliminar todo el posible javascript que haya en $_GET["mensaje"], ¿existe alguna manera en PHP para eliminar todo el javascript que haya en una cadena que se pasa por parámetro?

Muchas gracias