Haber si me pueden ayudar: estoy en la creación de un sistema de noticias con comentarios en PHP+MySQL, de los más simple. El tema es que tengo dos problemas:
El primero, y más importante, es que el código HTML arbitrario está habilitado. Eso es bueno para mí en el caso de que quiera ponerlo en una noticia, pero me di cuenta que también está habilitado en los comentarios, lo que puede probocar que cualquiera ingrese un <script>alert('sad')</script> (eso sería mínimo, pero como ejemplo vale) o cualquier código HTML. Lo que vendría a necesitar es un código que pase todo a texto, pero no lo consigo.
El segundo es un poco ás relevante, pero hay que ser atento para descubrirlo. Lo que sucese es que para entrar a la sección de posteo de noticias hay que estar loguado, eso es bueno, pero probé lo siguiente sin logearme, y funcionó: lo que hice fue copiar lo siguiente y ejecutarlo desde un archivo htm.
Código:
<h2>Publicar</h2>
<form name="post-text" method="post" action="(la_url)/index.php?tr=publicar">
<p><br /></p>
<p><input type="text" name="titulo"></p>
<p><textarea name="text" class="texto"></textarea></p>
<p><input type="checkbox" value=on name="commentable"> Habilitar comentarios</p>
<p><input type="hidden" name="noticia" value="nueva"></p>
<p><input type="submit" name="enviar" value="Enviar"></p>
</p>
</form>
Resulta que probando esto sin logearme puedo postear noticia cualquiera, sin estar logueado.
Si me ayudan se los agradezco.