Evitar ataques con HTML

Arcana · #1 (**permalink**) 02/01/2011, 14:05

Hola denuevo! Tengo otro problema tengo un formulario q añade datos a mysql, pero cuando añaden un codigo html y despues se imprimen los datos me jode la web. Hagan de cuenta si añaden este codigo por el formulario me reedirecciona a otra web:

Código HTML:

< META HTTP-EQUIV="Refresh" CONTENT="3; URL=tuweb.com">
< script>alert('Hacked by Zergio');
(PONGAN EL < PEGADO A LO DEMAS YO LO SEPARE PORQUE SINO SE ME REDIRECCIONABA Y ME MANDABA LA ALERTA..)
Saludos, z3rgi0x/sadrek ;)

Este es el codigo de mi formulario:

Código PHP:

 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<title>Estacion Rap</title> 
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> 
<link rel="stylesheet" type="text/css" href="style.css" /> 
<!--[if lte IE 6]> 
<link rel="stylesheet" type="text/css" href="ie.css" /> 
<script type="text/javascript">var clear="images/clear.gif";</script> 
<script type="text/javascript" src="unitpngfix.js"></script> 
<![endif]--> 
</head> 
<body> 
<?php 
$conexion = mysql_connect("sql201.byethost15.com", "b15_5229524", "09392181"); 
mysql_select_db("b15_5229524_estacion", $conexion); 
 
$queEmp = "SELECT * FROM Discos ORDER BY id DESC";  
$resEmp = mysql_query($queEmp, $conexion) or die(mysql_error()); 
$totEmp = mysql_num_rows($resEmp); 
 if ($totEmp> 0) { 
    while ($rowEmp = mysql_fetch_assoc($resEmp)) { 
  
    } 
} 
?> 
<!-- BEGIN wrapper --> 
<div id="wrapper"> 
  <!-- BEGIN header --> 
   <? 
include('arriba.php'); ?> 
  <!-- END header --> 
  <!-- BEGIN body --> 
  <div id="body"> 
    <!-- BEGIN content --> 
    <div id="content"> 
      <!-- begin post --> 
      <div class="first post"> 
        <div class="r"> 
           
          
           
           
          <?php  
 
//coloca la coneccion correcta a mysql aqui  
$conexion = mysql_connect("sql201.byethost15.com", "b15_5229524", "09392181");   
//selecciona la base de datos en la que quieres trabajar  
//y si esa es la unica base de datos que tienes, no vuelvas a abrir coneccion con mysql  
//ni a seleccionar otra vez la db  
mysql_select_db("b15_5229524_estacion", $conexion);   
 
 
$queEmp = "SELECT * FROM Discos ORDER BY id DESC";    
$resEmp = mysql_query($queEmp, $conexion) or die(mysql_error());   
$totEmp = mysql_num_rows($resEmp);   
 if ($totEmp> 0) {   
    while ($rowEmp = mysql_fetch_assoc($resEmp)) {   
      
    //while vacio...  
    
    }   
}   
 
 
 //si esta coneccion es la misma que la de arriba, no hace falta incluirla  
 //y menos incluirla 3 o 4 veces   
//include('config.php'); //incluimos el config.php que contiene los datos de la conexión a la db   
//include('config');   
 
 
if ( $_POST['titulo'] ) { 
$state = false;   
 
if ($_POST['action'] == "add" && $_FILES['archivo']['name'] != "") {    
 
//La subida de archivo dentro del condicional  
$ruta = "./imagenes/" .time(). $_FILES['archivo']['name'];   
copy($_FILES['archivo']['tmp_name'], $ruta);   
echo "La imagen subio correctamente";  
      
      
    //VERIFICA A QUI:  
      
      
    //aqui conectas, denuevo pero al parecer a otra base de datos  
    $conexion = mysql_connect("host", "user", "pass");   
    //pero a una tabla del mismo nombre  
    mysql_select_db("b15_5229524_estacion", $conexion);   
    //A $postear PUEDES DARLE UN VALOR MANUALMENTE PARA PROBAR Y QUE NO FALLE LA CONSULTA  
    $postear = $_SESSION[usuario];   
       
   
    //session_start() debe estar precedido de la @ a esta altura del script  
    @session_start();   
 
       
    $que = "INSERT INTO Discos (titulo, descripcion, imagen, descarga, enviado) ";   
    $que.= "VALUES ('".$_POST['titulo']."', '".$_POST['descripcion']."', '".$ruta."', '".$_POST['descarga']."', '".$_SESSION['idusuario']."')";   
    $res = mysql_query($que, $conexion) or die(mysql_error());   
    $state = true;   
      
      
 
 
   
} 
 
 
}   
 
 
 //SI INCLUDE() ES LA MISMA CONECCION A MYSQL QUE YA HICISTE NO ES NECESARIO  
//include('config.php'); //incluimos el config.php que contiene los datos de la conexión a la db y la sesión   
 
/*  
if($_SESSION[level] == 1 or $_SESSION[level] == 3){   
echo '';   
}else{   
Header("Location: index.php");   
}  
*/   
 
?>   
<? 
include('config.php'); //incluimos el config.php que contiene los datos de la conexión a la db y la sesión 
 
if($_SESSION[level] == 1 or $_SESSION[level] == 3 or $_SESSION[level] ==4) 
{ 
echo ''; 
 
}else{ 
Header("Location: index.php"); 
} 
?> 
<form name="formulario" form id="insertar" enctype="multipart/form-data" method="POST" action="">   
  <p align="left" class="Estilo1">Añadir discos</p> 
  <p align="left">&nbsp;</p> 
  <p align="left">Titulo (Autor - Nombre del disco)</p> 
  <p align="left">  
    <input name="titulo" type="text" id="nombre" size="50" /> 
  </p> 
  <p align="left"><br />   
    Canciones</p> 
  <p align="left"> 
    <textarea name="descripcion" id="textarea" cols="45" rows="5"></textarea> 
  </p> 
  <p align="left"><br />   
    Imagen(Caratula Frontal)</p> 
  <p align="left"> 
    <input type="file" name="archivo" id="archivo" /> 
  </p> 
  <p align="left"><br />   
    Link de descarga(Empezando por http://)(Los archivos deben estar subidos en Subirfacil.com si no estan ahi, tu post sera borrado)</p> 
  <p align="left"> 
    <input type="text" name="descarga" id="textfield" /> 
    <br /> 
  </p> 
  <p align="left"><br />   
      <input type="submit" name="Submit" value="Enviar disco" /> 
      <br />   
      <input type="hidden" name="action" value="add" /> 
      <br />   
            </p> 
</form>   
 
<?php   
 
 
 
if ($state) {   
echo "<p /><em>Disco agregado</em></p>";   
}  
 
 
?></div> 
      </div> 
      <!-- end post --> 
      <!-- begin post --> 
      <!-- end post --> 
      <!-- begin post --> 
      <!-- end post --> 
    </div> 
    <!-- END content --> 
    <!-- BEGIN sidebar --> 
     <? 
include('menu.php'); ?> 
    <!-- END sidebar --> 
    <div class="break"></div> 
  </div> 
  <!-- END body --> 
  <!-- BEGIN footer --> 
  <? 
include('abajo.php'); ?> 
  <!-- END footer --> 
</div> 
<!-- END  --> 
</body> 
</html>

abimaelrc · #2 (**permalink**) 02/01/2011, 14:07

Usa strip_tags para evitar que te añadan código html.

Arcana · #3 (**permalink**) 02/01/2011, 14:59

lo he intentado asi pero no funciona:

Código PHP:

 
 <? 
 
$consulta = 'SELECT titulo,descripcion,fecha,imagen,enviado,descarga FROM Discos WHERE id=' . $_GET['id'];   
$resEmp = mysql_query($consulta, $conexion) or die(mysql_error()); 
$totEmp = mysql_num_rows($resEmp); 
 if ($totEmp> 0) { 
    while ($rowEmp = mysql_fetch_assoc($resEmp)) { echo script_tags("".$rowEmp['titulo']."<br>");     } 
} ?>

pateketrueke · #4 (**permalink**) 02/01/2011, 15:05

Cita:

Iniciado por Arcana

lo he intentado asi pero no funciona: [...]

script_tags????

deberías leer el manual, y de paso leer bien lo que te escriben...

Cita:

Usa strip_tags para evitar que te añadan código html.

http://php.net/strip_tags

Arcana · #5 (**permalink**) 02/01/2011, 20:27

Ya lo pude resolver hice algo asi:

Código PHP:

  $titulo = stripslashes($_POST["titulo"]); 
$titulo = strip_tags($titulo); 
//despues añadi la variable $titulo