preg_match para ipedir insercion codigos html en textarea

JinSunMi · #1 (**permalink**) 09/04/2014, 10:29

Hola
Tengo problemas en mi form porque me atacaron con XSS y quiero evitar la entrada de codigo a mi campo comentarios

Como puedo hacer este if correctamente con preg match para que no admita códigos html, javascript en mi campo $Comentarios

$Comentarios=$_POST['comentarios'];

Lo que les pido, son las expresiones regulares (está vacío" para impedir la inserción de código
y crear esta función de manera correcta

algo similar a esto que impida html y javascript
@<[\/\!]*?[^<>]*?>@si

Esto es para completar y/o mejorar

Código PHP:

  { if (preg_match('', $Comentarios)) 

echo "se admite solo texto y número, retire su código. Este mensaje no ha sido enviado"; 

}

Qué solo en el caso de encontrar etiquetas html o javascript dentro del campo $Comentarios , impida el paso a enviar los datos del form, caso contrario prosiga

Muchas gracias por su ayuda
Jin

GatorV · #2 (**permalink**) 09/04/2014, 11:27

Usando:

Código:

/^[a-z0-9]+$/

limitas al texto que solo acepte letras y números.

JinSunMi · #3 (**permalink**) 09/04/2014, 11:47

GatorV
Este es el código con lo que me diste

Código PHP:

  if (preg_match('/^[a-z0-9]+$/',$Comentarios))

{

     echo '<b>SPAM. No puedes incluir direcciones web en el área para comentarios,<br>por favor retíralas para poder enviar el mensaje.</b>';

exit;

}else{ 

}

mail($destino,$asunto,$cuerpo,$headers);

?>

Pero hice la prueba en mi form y envía URL y también http:// , no delimita el campo $Comentarios a texto y números

Hice yo algo mal o es que falta algo al código que me diste?

GatorV · #4 (**permalink**) 09/04/2014, 12:03

preg_match te devuelve 1, si hace match, 0, si no hay matches, y false si ocurrió un error, por lo que deberías de probar algo así:

Código PHP:

Ver originalif (!preg_match(...)) {
     die("solo carácteres alfanuméricos y números");
}

JinSunMi · #5 (**permalink**) 09/04/2014, 12:51

Perdona una vez más pero puse

Código PHP:

  if (preg_match('/^[a-z0-9]+$/',$Comentarios))

{

die("solo carácteres alfanuméricos y números");

exit;

}else{ 

}

mail($destino,$asunto,$cuerpo,$headers);

?>

Y todavía pasan las URL y los enlaces a la función mail y se envía el form

Este código impide los enlaces html dentro del campo $Comentarios pero no las URL (www.google.com) que si las envía al correo

Código PHP:

   

$Comentarios=$_POST['comentarios'];

if (preg_match('/\<a(.*)\>(.*)\<\/a\>/i',$Comentarios))

    {

    echo "<b>No se permiten direcciones web ni enlaces, por favor retírelas. Su mensaje no ha sido enviado</b>";

 exit;

}else{ 

}

mail($destino,$asunto,$cuerpo,$headers);

?>

¿qué debo hacer para evitarlo y además que incluya otras palabras, como "diezepan" "paracetamol" y diversos nombres de fármacos con los que me atacan el form?

JinSunMi · #6 (**permalink**) 10/04/2014, 07:51

Este tema no ha sido solucionado

La ayuda que solicito son expresiones regulares para preg_match que puedan usarse para no permitir inserción de códigos javascript, html, style en mi campo $comentarios de mi form

Gracias

Qazser · #7 (**permalink**) 12/04/2014, 05:35

Cita:

Iniciado por GatorV

preg_match te devuelve 1, si hace match, 0, si no hay matches, y false si ocurrió un error, por lo que deberías de probar algo así:

if (!preg_match(...)) {
die("solo carácteres alfanuméricos y números");
}

Realmente el tema si fue resuelto, la expresión regular de GatorV es la correcta, ya que solo permite cifras y letras. Pero debes poner el "!" para que te funcione, o de otra manera (la recomendable es la de gator)

Código PHP:

  <?php

$Comentarios='www.google.com';

if (preg_match('/^[a-z0-9]+$/',$Comentarios) ==0)

    {

    echo "<b>No se permiten direcciones web ni enlaces, por favor retírelas. Su mensaje no ha sido enviado</b>";

 exit;

}else echo 'hi';

Mira aquí el ejemplo funcionando: http://ideone.com/IU6iT1

un saludo