[SOLUCIONADO] Prevenir xss e inyeccion sql

urruju · #1 (**permalink**) 08/04/2014, 03:15

Hola a todos,

Por más que leo sobre el tema no consigo quedarme contento con mi código de seguridad ante ingresos a BBDD vía formularios. Estoy desarrollando una web con distintos tipos de formularios (registros, inicios de sesión, foros, edición de noticias, ...). Entiendo que cada formulario responde a una necesidad y como tal hay que tratarlo.

Alguna recomendación (alguna clase, función, ...) que me pueda asegurar un mínimo mis BBDD.

Gracias.

Alexis88 · #2 (**permalink**) 08/04/2014, 03:21

En PHP, hay dos funciones prácticas que te pueden ayudar a prevenir ambas cosas: strip_tags, para eliminar elementos HTML y mysqli_real_escape_string, para escapar los caracteres especiales en una cadena.

También tienes la opción de desinfectar los datos con expresiones regulares, pero necesitas aprender primero sobre ellas para poder aplicarlas pues son un tanto complejas, aunque con estudio, se logra dominarlas.

Saludos

urruju · #3 (**permalink**) 08/04/2014, 03:31

Hola Alexis88,

Gracias por responder.
Sí en determinados formularios como los de un foro necesito que los usuarios puedan utilizar ciertas etiquetas html pero evitando inyeccion XSS? tienes alguna función interesante?

Geghnar · #4 (**permalink**) 08/04/2014, 06:17

Hola urruju; no sé si te puede servir pero yo utilizo esto:

Código PHP:

  strip_tags($contenido,'<p><a><span><em><br><i><u><b><strong>');

De esta manera elimino todas las etiquetas html excepto las indicadas.

Salu2.

jheckson · #5 (**permalink**) 08/04/2014, 06:19

Lo que te dice Alexis88 es la solucion, para evitar quitar algunas etiquetas solo debes utilizar el segundo parametro de la function strip_tags (lee el link que puso Alexis88 de dicha function para mas informacion), con el cual solo debes indicar cuales funciones debes utilizar y cuales no!

Código PHP:

Ver original<?php
$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text);
echo "\n";
// Permite <p> y <a>
echo strip_tags($text, '<p><a>');
?>

El resultado de los ejemplos serían:

Test paragraph. Other text
<p>Test paragraph.</p> <a href="#fragment">Other text</a>

urruju · #6 (**permalink**) 08/04/2014, 08:44

Gracias por vuestras soluciones.

PHPeros · #7 (**permalink**) 08/04/2014, 08:53

Aquí tienes uno muy completo contra ataques XSS.

JinSunMi · #8 (**permalink**) 08/04/2014, 12:10

PHPeros

Tengo un formulario y su procesador.php con eregi
quiero evitar que inserten XSS en mi campo &Comentarios y como sabes eregi es obsoleto y he comenzado a recibir ataques en mi form

Este es mi código, me funcionó 2 años pero mi hosting emigró a php5.3

Código PHP:

  if (ereg('http:|www.|blogspot|sex-online|poker-casino|superinsuranceworld|viagra', $Comentarios)){

echo '<b>SPAM. No puedes incluir direcciones web en el área para comentarios,<br>por favor retíralas para poder enviar el mensaje.</b>';

exit;

}else{ 

}

mail($destino,$asunto,$cuerpo,$headers);

?>

No quiero recibir más links ni ningún html en mi campo comentarios

¿Como puedo implementar ese código que has puesto? Mi procesador.php que envia los datos al correo tiene html incrustado y por ello recibo los datos en la bandeja de entrada en forma de una tabla html y quiero que esto no cambie

¿Como puedo hacer?
Saludos
Jin

Alexis88 · #9 (**permalink**) 08/04/2014, 12:44

Cita:

Iniciado por urruju

Hola Alexis88,

Gracias por responder.
Sí en determinados formularios como los de un foro necesito que los usuarios puedan utilizar ciertas etiquetas html pero evitando inyeccion XSS? tienes alguna función interesante?

Además de usar el segundo parámetro de la función strip_tags que te indiqué, para lo que buscas hacer puedes utilizar la función htmlentities, la cual convierte todos los caracteres con equivalente HTML en entidades HTML. Lee más al respecto en el enlace adjunto.

Saludos