¿Como limpiar bien lo que recibo por post?

minombreesmm · #1 (**permalink**) 19/05/2013, 12:10

hasta ahorita tengo esta funcion

y lo que pongo para probar es esto...

Código PHP:

Ver originalfunction cleanString($string){
    $string=trim($string);    
    $string=htmlspecialchars($string);
    //$string=htmlentities($string);
    //$string=htmlentities($string, ENT_QUOTES,"UTF-8");
    $string=nl2br($string); 
    return $string;    
}

esa forma me gusto por que puedo insertar codigo html y lo muestra tal y cual se inserta sin alterar nada. uso codificacion utf8 osea se envian los datos como el usuario los escribe y si escribe algo de html se guardan los datos de una manera y se visualizan de la forma que el usuario los escribio. hasta alli todo bien
pero quise probar poniendo esto.. y nisiquiera logran insertar.
creen que hace falta algo en mi funcion de tal manera que no altere lo que ya eh logrado.
el codigo es este.

Código raro:

Ver originalspacer.gifs÷t³°Ldd`dh`€ÅŸ,Œ ZD€d˜˜\¬PKv½h« + PK    R< $ src.1231175687546.png.autoresize.png}XeT…
·V`@!¤Dé‰!†.éîîBRRén®‘”.…‡
rJ(zÐ¦[Ø(<aTŽ›×JäÄ/!Ý8#ç ”ÂyÊþRë³œ9…‡
É›£˜îã—Z$rù9hÃšeªn™·Ån÷ã†~$4
€b‹jTûñd¹;¸•'tí}Ð¯[6‡4ùÛµ6 @‚+h…‡ i×µí–aR‰¨×à73:F¸
°0ší‘;Ü#8®{Ñ´øˆIàÅt–šñoFá{pkj2á·TR|R…‡
{CZa‰+& E úNÈñ¾ãj Zª½øj[?Fëù6µÇîä*¿§³òj½‰%'b÷æ±òÅ+…‡ MNÒö  à8³ƒÖ#Øy‡’÷
0Ú šÊ»kœÌ¯©J+ Ã%`£ñïÒ;L[›HÆLàŽ
¡ó‡O´úÀÒ‰
¹éŠÒ")4ñÇÒ,¯>æ2Ÿj_˜j_+k&?µ™m·Ê©$ù…‡
y”Yí[v?=Ë|=Ö7àÚÍ, «ê'r]–ÖÃ>    c¿èÀ±…‡ eòöÂD˜s;71ÅÇ_LÐæè»O-±hpÊåÔ®íø#Xj#¸PÎ…‡ š²Êñ«ÌÌ*›y;ž+~ ÒèæÉÂÛ)á¼Ìþö4S
iE7ålñ·žvéÄb¤]ì;z¦;
¨
g ‘Ì˜¸o¶âú´„–q €‡Âð`j°ì¬,L{~Ò³'UÁñ½ýÙ»0Av'm»ÁÒ7ÀšÜ¶s…‡
"£
&u“¯'._ì˜F1©y!ÊgxÅÇ®ÂÏF£¼óÕtú‡4o…‡ K¥ÜFêG¿o†Ô]ÖR
Œ(ú†‹+žgå¥; ôB½å‹tùÁYLÿ–Ä¾¨Wó—e%¯…‡
5áíceï‹WIlKíÛ¿!Õ¨3?ÖHZDk@(«G÷-çÀC…‡
d'¦©ee*m9°ùdJj¸Ò/hAñb0{í¨œ.@*ëi'¾}…‡
Ù«µÜÞ*Û–½¥ÉU‘   k¢*HM•!£†Ê÷þ™wqa¡ÿ"ð…‡ ÀõotfŽÀË}‘”ÁÐêôÙ ñwß#jÎ’=tV¥AºØBYÑN0…‡
¸eJc’çeBWBfþîZ²¥[¦*Æåv…où=}Óâ:×Ã¡'ÿ‰…‡
^°Õô³åÏ_Ÿý8STœÈ.¡nârd{u¿ŒÁý†«^“…‡
×–ÐøIwÔiK»Z¼»,zhÎ«±Œ*µ€þ6 GçL…ª"¥¥¹Cf]®ÆfÎ’ûq©}Fú¢‰Ê$´4"8Ëýtõ
ÓQlý†K×îå¢Äì
'®äªçj/›¬+ã^NXÊ. ì¨ÊËˆ4íV¤'Š=közb”…‡
;çR:çÿÃÜ/äB=f¾j©r   Ô&øƒÁ‹æd~Ø1§Pgvÿ…‡ ªJQ‹‚œJgãMÍÙqE;§$níþ#1J—V—›|TèÀBÞ„û‹…‡
ó×?Fˆˆ¿Rý%¾×„4Âo”ð }ƒša¨#ßOÎ©¼ƒþ{FœO%åh¦Eåì«Þ1W8ž-½M4™ÙŽ…‡ [€Ÿ®2E„Y^VQ¨õ¬)BxI¾¡ûþ>ó;ôaÉûôàß]›ùì–2…‡
…jø›g§²í÷n? ¹‹ý¬& ƒ¢"TÉ`ö¼ÔWN;$Â kôLN{nÊÈá¢CÙ^ß½êÊÓþU7¤ÁðaÛæS!¥à:uj°(G…‡
ÀŸ2j?q±
w“ÉÒs]ÇØ{8º¢Ä2zØô;1Ò*OçõCkf§¥8Œ¦Éi…‡ ÙŒP'ÎóÜ`9OÌt¢,hó¼—™96&f+ø}u5-  £«ÊÌboo>—làñÂ½¿I3ÓÀÜX8ÿf#™‹hx *ÖXìCLK<^
&yòdþÒ×Öv¢àß
w>ÇÃðw ¢O
}}ñ(ì÷Õ1´½rÚZ¿ßó*™ÍH3uyÊA>¡>Ìã=1…‡ &ˆ   AÌ”)qÐîª³F×’UJfÙÀYAØÕßÿW®!/Ã¨ÿ´‘ýi|…‡
>–Þ¥©0S@,¡©Þ@ ’¢‹”(n€*c‰ôÌyóçÒ

lo que se que es es el apostrofe. '
entonces lo que me queda es averiguar como filtrar el apostrofe

de antemano gracias

reedito.
añadi esto a la funcion cleanString

Código PHP:

Ver original$string=str_replace("'","\'",$string);

ahora si agarra el apostrofe,
pero ahora como scapo la \

intente hacer esto

Código php erroneo:

Ver original$string=str_replace("\","",$string);

pero no escapa ni para su sintaxys correcta.. osea no se puede hacer esto

echo "\";
como solucionarlo, seria lo unico me imagino

finalmente lo logre con este truco..

Código PHP:

Ver originalfunction cleanString($string){
 
    $string=trim($string);    
 
    $string=htmlspecialchars($string);
    
 
    //$string=htmlentities($string);
 
    //$string=htmlentities($string, ENT_QUOTES,"UTF-8");
 
    //$string=htmlentities($string, ENT_QUOTES,"iso-8859-1");
 
    $string=nl2br($string); 
    
 
    $diag= "\'";
    $diag=str_replace("'","",$diag);
    
    $string=str_replace($diag,"",$string);
    
    $string=str_replace("'","\'",$string);
 
    return $string;
 
}

no se si sea buena idea hacerlo pero funciona

no es probable que alguien use diagonales y apostrofes pero si a alguien se le ocurre...

y por cierto del 1 al 10 que tan vulnerable es mi sitio con esa validacion?

y que mejoras podria darle

REVIELVO A REEDITAR.
solo me funciono para la apostrofe pero para la diagonal invertida no la agarra

portalmana · #2 (**permalink**) 19/05/2013, 13:57

En esta web tienes info sobre ataques XSS
https://www.owasp.org/index.php/XSS_...on_Cheat_Sheet

y aqui en el foro un compañero se tomo la tarea de escribir de seguridad en las aplicaciones web,
http://www.forosdelweb.com/f18/seguridad-web-1004102/

Saludos y espero te sirva.

bulter · #3 (**permalink**) 19/05/2013, 14:39

Código PHP:

  <?php
error_reporting(E_ALL);

function Filter($varToFilter)
{
    if(is_array($varToFilter))
    {
        foreach($varToFilter as &$value)
        {
            if(is_array($value))
            {
                $value = Filter($value);
            }
            else
            {
                $value = htmlspecialchars(addslashes(trim($value)));
            }
        }
        
        return $varToFilter;
    }
    else
    {
        return htmlspecialchars(addslashes(trim($varToFilter)));
    }
}

$array = array(1 => array("<script>alert('ad')</script>", "mauauasd", array("DADADSD")), 
               2 => "Value",
               3 => array(array(array("Last"))),
               "something" => "2131");
            
$array = Filter($array);        
print_r($array);

?>

Si lo haces con un array traverser creo que sera mejor asi directamente le das a la funcion $_POST como parametro y te filtra todo lo que hay dentro sea otro array o no

Saludos

pateketrueke · #4 (**permalink**) 19/05/2013, 14:52

La barra de escape es \ así que si quieres escapar la barra de escape debes escribirla dos veces.

Código PHP:

  echo "\\";

minombreesmm · #5 (**permalink**) 19/05/2013, 15:31

Muchas gracias compañeros, creo que efectivamente mi fuuncion cleanString es un bebe a comparacion de todo lo que se tiene que hacer. en especial si en mi pagina quiero que se incluya todo el texto y simbolo que el usuario quiera.

creo que me espera demasiado trabajo, tambien estaba viendo de como hacer los includes, y creo que tambien me dara mucho trabajo cuando quiera crear las urls amigables, que por cierto aun no he logrado que funcionen y ni siquiera eh incluido eso, pero bueno metere todo eso explicado en los enlaces en la funcion cleanString.