Filtro para Sistema de Comentarios

dezagus · #1 (**permalink**) 06/01/2011, 13:05

Hola a todos, cree un pequeño código para filtrar cualquier código que quieran poner en mis comentarios.

Me gustaría saber si lo está bien o falta agregar algo

Código PHP:

  
<?php

 
function filter($tofilter){

 
// General

$tofilter=str_replace("<","",$tofilter);

$tofilter=str_replace(">","",$tofilter);

$tofilter=str_replace("{","",$tofilter);

$tofilter=str_replace("}","",$tofilter);

$tofilter=str_replace("[","",$tofilter);

$tofilter=str_replace("]","",$tofilter);

$tofilter=str_replace("(","",$tofilter);

$tofilter=str_replace(")","",$tofilter);

$tofilter=str_replace("/","",$tofilter);

$tofilter=str_replace("\\","",$tofilter);

 
// PHP

 
$tofilter= str_replace("function" , "" , $tofilter);

$tofilter= str_replace("php" , "" , $tofilter);

$tofilter= str_replace("echo" , "" , $tofilter);

$tofilter= str_replace("print" , "" , $tofilter);

$tofilter= str_replace("return" , "" , $tofilter);

 
// HTML

 
$tofilter= str_replace("html" , "" , $tofilter);

$tofilter= str_replace("body" , "" , $tofilter);

$tofilter= str_replace("head" , "" , $tofilter);

 
// JS

 
$tofilter= str_replace("script" , "" , $tofilter);

 
// Ajax y Otros

 
$tofilter= str_replace("xml" , "" , $tofilter);

$tofilter= str_replace("version" , "" , $tofilter);

$tofilter= str_replace("encoding" , "" , $tofilter);

 
// CSS

 
$tofilter= str_replace("css" , "" , $tofilter);

 
 
 

 return $tofilter;

 
}

 
 
echo filter('<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">');

 
?>

Gracias desde ya.

ArkangelGammar · #2 (**permalink**) 06/01/2011, 13:46

le faltan muchas cosas. Es bastante vulnerable el codigo.

Te suguiero que busques la clase input.filter ya que un ataque facilmente te puede reemplazar el valor de la variable $tofilter, y tambpoco previene el ataque SQLInjection.

Yo particularmente customice esta clase:

http://www.phpclasses.org/package/2189-PHP-Filter-out-unwanted-PHP-Javascript-HTML-tags-.html

Pero ya de por si sola es bastante buena.

Podes aprender como funciona aca:

http://blog.unijimpe.net/prevenir-ataques-xss-con-php/

Espero haberte ayudado.

Saludos

Ribon · #3 (**permalink**) 06/01/2011, 14:02

no que es mejor usar strip_tags? o algo asi ? xD

ArkangelGammar · #4 (**permalink**) 07/01/2011, 14:27

No confio tanto en Strip_tags.

Yo prefiero la clase. Pero tambien es una opcion.

jossmorenn · #5 (**permalink**) 07/01/2011, 16:00

Código PHP:

  function limpiar_tags($tags){ 

$tags = strip_tags($tags); 

$tags = stripslashes($tags); 

$tags = htmlentities($tags); 

return $tags; 

} 

 

limpiar_tags($variable);