sugerencia seguridad

fullmental · #1 (**permalink**) 09/09/2005, 21:37

hola que tal espero me puedan ayudar con sus comentarios

estoy haciendo una aplicación en web que permite a los usuarios publicar pequeños pedazos de texto en una página, la pregunta es si es seguro dejar que pongan html sin restricciones...

me gustaría que por ejemplo tuviera la posibilidad de hacer enlaces y poner imágenes pero no se que tan seguro sea.

¿y si no es seguro de que manera restringirlo?

todo esto se almacena en una base de datos mysql

Cluster · #2 (**permalink**) 10/09/2005, 07:29

No es del todo seguro dejar que usen todo el HTML que quieran .. de hecho una de las cosas más peligrosas es dejar que puedan dejar vinculos a imagenes y más "remotas" .. por qué ahí te podrán subir por ejemplo un "script.malicioso.php" bajo un tag de imagen <img src="script.malicioso.php"> ..

Un saludo,

$thisone · #3 (**permalink**) 10/09/2005, 08:27

Holas.

Lo suyo es que uses funciones como htmlspecialchars() o htmlentities() para filtrar el código.

Ten mucho cuidado con eso...asegurate de que no pueden insertar HTML en tu página, en eso se basan los ataques xss a las páginas web.

Saludos ;)

fullmental · #4 (**permalink**) 12/09/2005, 18:32

ok ya esta esto la solución que probe fue:

Código HTML:

$texto_ok=htmlspecialchars($texto);

ahora que pasa si quiero que mis usuarios puedan enriquecer un poco el texto al menos con negritas e italicas???

como hacen foros como estos para poder pegar imagenes sin que sea inseguro?

gracias.

$thisone · #5 (**permalink**) 12/09/2005, 19:16

Holas.

Prueba con esto:

Código PHP:

  <?php

function code($cadena)

{

    $codes = array(

        '[b]' => '<b>',

        '[/b]' => '</b>',

        '[i]' => '<i>',

        '[/i]' => '</i>',

        '[u]' => '<u>',

        '[/u]' => '</u>'

        );

 
    foreach($codes as $k => $v)

    {

        $cadena = str_replace($k, $v, $cadena);

    }

 
    return $cadena;

}

 
$texto = 'Este es tu texto. [b]esto está en negrita[/b]. [u]Esto está subrayado[/u]. Etc!!!';

$texto = htmlspecialchars($texto); //por seguridad

$texto = code($texto); //para reemplazar [b] por <b>, etc

 
echo $texto; //lo mostramos

?>

Saludos ;)

FuLaNo_ · #6 (**permalink**) 12/09/2005, 19:23

Puedes dejar que usen todo el HTML que quieran mientras cumplan algunas condiciones que puedes evaluar con expresiones regulares... por ejemplo, que las imagenes (<img src="hola_mundo.jpg" />) sean solo .jpg, .bmp, .png o gif, entonces ya no habria problemas conque intenten subir un .php.

Tambien tienes que quitar etiquetas como <meta> y codigo javascript ya que se pueden hacer redirecciones y demás porquerias que no queremos que pasen...

Aúnque lo mejor sigue siendo utilizar BBCode, que para algo se invento :p

El_Barto · #7 (**permalink**) 12/09/2005, 19:32

$thisone gracias por el código. Eso seguramente será muy útil en el futuro.

Saludos

fullmental · #8 (**permalink**) 12/09/2005, 20:18

wow muchas gracias!!!

gran solucion pues el codigo bb ya es muy conocido!!!
de nuevo muchas gracias..