Cómo usar preg_match() en PHP para validar datos

The_Code · #1 (**permalink**) 06/09/2013, 18:37

Buenas gente de la comu, estoy haciendo los comentarios para mi sitio web y estoy en el tema del XSS, he leído manuales muy interesantes sobre eso, así que quiero prevenir mi sitio frente a ataques XSS (todavía no usa BD, los comentarios los archivo en un .txt)

Lo que quiero saber es cómo se usa el preg_match(), ya que no lo entiendo, supongamos que quiero sacar las palabras:

<a href
</a>
<script>
etc

entonces cómo tengo que hacer para que la función me saque esas palabras? Porque los códigos que vi, se usan barras, arrobas, guiones, paréntesis, etc, y no entiendo porqué xD

Gracias

jgdev13 · #2 (**permalink**) 06/09/2013, 18:53

Aquí tiene ejemplos bien claros:
http://php.net/manual/es/function.preg-match.php

Pero en tu caso vería mejor utilizar str_replace()...

The_Code · #3 (**permalink**) 06/09/2013, 19:38

Si, pero no lo he entendido, supongamos que quiero sacar la palabra hola de un comentario, entonces, hago esto:

preg_match(/^hola/, substr(NO ENTENDI QUE PONER), $coincidencias, PREG_OFFSET_CAPTURE);

Es decir, quier evitar ataques XSS, por ende, sacar algunos códigos. Supongamos que quiero sacar la palabra HOLA de una frase, cómo tengo que hacer? Porque eso ya lo he leído varias veces y no he comprendido bien

pateketrueke · #4 (**permalink**) 06/09/2013, 19:47

Las expresiones regulares no se usan para "validar datos", ahí tienes un serio problema de concepto, las expresiones (RegExp) se usan para analizar texto y hacer reemplazos básicamente.

Pueden servirte para reemplazar partes de cualquier texto, pero no para "validar" todo el tiempo, es un desperdicio de recursos.

En tu caso no hace falta usar RegExp, lo mejor es que busques una librería especializada en filtrar XSS, ya que de construir una deberías dominar RegExp y sobre todo el lenguaje de PHP, que a todas luces se nota que vas empezando.

No te ahogues en un vaso de agua, si de verdad buscas aprender RegExp, que es otro lenguaje, te invito a visitar el sub-foro de RegExp.

Pero si lo que buscas es resolver tu problema de XSS entonces ya veremos como te podemos ayudar.

The_Code · #5 (**permalink**) 07/09/2013, 11:39

ok, en realidad si está bien saber de todo un poco, pero yo principalmente estoy cómo desarrollador de videojuegos y estoy haciendo mi página, que por cierto, está algo así:

Estoy usando strip_tags para filtrar algunas etiquetas, pero me fijaré lo de librerías para sacar inyecciones XSS, gracias por la amabilidad ;)
Saludos