escapar, filltrar, entidades .. ?

Hola como estan?...
Bueno me dirijo a ustedes por que estoy un poco confuso con este tema.
Anteriormente pregunte que debo hacer para que un usuario pueda guardar codigo sin que la pagina se viera afectada, solo que sea guardada en la base de datos sin que esta se ejecute.. (que se guarde como texto plano).

Bueno me han respondido por todos lados muchas cosas.
Que lo convierta en entidades con htmlentities... otros usuarios me responden que no.. que escape cadenas... que filtre... etc..

La verdad estoy un poco confundido con los pasos a seguir para esto...

Alguien me puede explicar que es lo que debo hacer para que el usuario pueda guardar codigo sin que se ejecute?... escapando... ? conviertiendolo en entidades? ... etc ?

Muchas gracias

Primero, explícanos, ¿Qué tipo de código pretendes guardar?

La pregunta que te debes hacer en estos casos es ¿hasta que punto quieres permitir al usuario guardar su código?

Entiendo que te refieres al HTML, entonces ¿que es lo quieres permitir y que no?

Una vez respondas esas preguntas te darás cuenta de si lo que necesitas es filtrar dicho HTML, pero como ya lo decía yo: siempre debes escapar el texto antes de insertar a la base de datos.

Eso no implica escapar entidades que no hay relación, etc.

¿Tu eres el del otro tema donde participé?

Hola ! ... gracias por la rapides pateke y soul.!

Lo que podra guardar el usuario es practicamente cualquier codigo, sea de html.. o js.. o consultas sql... o base de datos.. etc.. lo que sea.
--

asi es pateke soy el mismo ! ... lamentablemente.. me veo un poco confundido .. por que hace una semana un usuario me respondio que lo mas comodo era pasar todo a entidades antes de realizar la query, asi me ahorraba escapar cadenas y el filtrado.


pero pensandolo bien. pasar TODO a entidades seria un texto el triple de largo el cual se guardaria en la base de datos.

Ahora bien, te pido con tooooooooodo el amor del mundo jajaja ..
me podrias guiar muy rapidamente que pasos podria seguir para hacer lo que te plantie anteriormente?.. que el usuario practicamente lo pueda guardar todo...

Muchas gracias pateke

Pues puedes guardar el código tal cual escapado en la base de datos, pero al mostrar lo conviertes a entidades.

Supongo que no quieres que el HTML se interprete sino que se vea tal cual, ¿o como?

asi es, tal cual lo guardo el usuario... tengo una duda respecto al tema, espero que no te moleste..


para evitar el sql injection escapamos la cadena antes de ser ejecutada...

y para evitar el ataque xss.. convertimos el texto a entidades antes de ser impreso en pantalla..

es correcto ?

perdon la molestia campeón y muchas gracias

Si, es correcto.

Gracias ! ... esto es lo ultimo !

actualmente como te dije en la mañana... estoy con mysqli .

esta me ofrece los bind_param, la cual como dice php, escapa las variables que uno le pasa, pero lamentablemente. en el manual no sale que caracteres son los que la funcion escapa.

bajo tu experiencia, sabes cuales son los caracteres que escapa esta funcion ?

Muy agradecido. !

Una pregunta pateketrueke
[QUOTE=pateketrueke;4062887]Pues puedes guardar el código tal cual escapado en la base de datos, pero al mostrar lo conviertes a entidades.QUOTE]

en cuanto a escapar el codigo podria usar la funcion addslashes()? teniendo en cuenta que espaca solo ciertos caractres o la otra seria crear una funcion pero que caracteres son los "peligrosos"?

Cada driver de base de datos tiene su propia función de escape, no hace falta definir nada nuevo.

pateke .. el bind param, que caracteres son los que escapa de la cadena?

¿Acaso importa?

mm yo creo que si... pues..
si bind param cumple un rol de addslashes, preferiria usar un mysql_real_...
ya que escapa mas caracteres. ..
o estoy mal : (

Igual pienso que seria interesante saber cuales son los caracteres que escapa, por si le falta alguno hacer algo al respecto XD

Estas viéndolo desde una mal ángulo.

Si solo te preocupas en escapar por escapar, que si son tantos o menos caracteres, etc. entonces estas perdiendo el tiempo en trivialidades.

Cada driver sabrá que caracteres escape, sin embargo no difieren mucho pues son convencionales. Así mismo el único objetivo de escapar es el de evitar problemas con consultas mal formadas, en ningún momento se pone en riesgo la integridad de el texto.

Pero bueno, si nos sobre preocupamos y comenzamos escapar con addslashes(), mysql_real_blablabla(), y no se que más entonces en algún punto habremos sobre escapado el texto y tendremos que revertir siempre dichos escapes.

¿Que caso tiene saber que caracteres se ven afectados?

No le veo sentido a una cuestión como esa.

Edito: ¿por si le falta uno? jeje, estás como diciendo que los desarrolladores de las propias extensiones en seguridad no saben hacer su trabajo... XD

jajaja si, tienes razon :)
notable lo ultimo jaja .

A que te refieres con "ser ejecutada"?
T refieres antes de ser insertada en la bases de datos?