17/07/2011, 10:57
| |||
| |||
| Filtrar HTML, PHP, Java, etc... Buenas foreros de la web! Estoy buscando un script, osea una función... o algo... que me filtre los dátos entrantes de los formularios. ¿Que quiero decir con eso? Si alguien quiere inyectar php, java o algo por un form, que quite los elementos de html, java, php, etc, que estén intentando inyectar y deje el texto límpio. Gracias desde ya! |
|
17/07/2011, 11:01
| ||||
| ||||
| Respuesta: Filtrar HTML, PHP, Java, etc... Hola $datos = strip_tags($_POST['tus_datos']); http://php.net/manual/en/function.strip-tags.php saludos
__________________ Un Saludo www.tutores.org Asp | Php | Javascript | Perl | Coldfusion | Flash | +- 2000 codigos |
|
17/07/2011, 11:08
| ||||
| ||||
| Respuesta: Filtrar HTML, PHP, Java, etc... Hola dezagus, lo que Gurrutelo te indica es bastante útil, también deberias tomar en cuenta algunas cosas como la inyección sql, para ello lo siguiente extraído de wikipedia: Cita: Ahora si usas un framework, podrias usar su clase de seguridad o su clase para BD que te brindan mayor seguridad a la hora de realizar consultas a la BD. Por ejemplo yo uso CodeIgniter que tiene su active record que te proporciona escape automático en sus consultas.PHP En el lenguaje PHP, hay diferentes funciones que pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Para MySQL, la función a usar es mysql_real_escape_string: Código PHP: Si deseas podrías darle un leída a http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL aunque sé que hay articulos más completos en cuanto a seguridad e inyección sql. Saludos Última edición por Danielfuzz; 17/07/2011 a las 11:10 Razón: agregando links |
|
17/07/2011, 13:07
| |||
| |||
| Respuesta: Filtrar HTML, PHP, Java, etc... Ah, una duda. En los form para cargar archivos, hay que poner strips tags? o solo en los forms de carga de texto? Gracias desde ya! |
|
17/07/2011, 16:24
| ||||
| ||||
| Respuesta: Filtrar HTML, PHP, Java, etc... strip_tags() sirve para eliminar todas las etiquetas html del string que le pases como parámetro, es decir si haces esto: Código PHP: Cita: osea te quita las etiquetas.alert("hola")"titulo Este strip_tags deberias usar en todos tus campos text, textarea, checkbox (ya que el atacante puede ingeniarselas para enviarte un texto con el nombre del checkbox), radio buttons, etc. No creo q sea necesario que uses para campos file ya que es el nombre de un archivo que lo procesa el servidor y no a nivel de codigo si no a nivel binario, aunq si vas a imprimir el nombre del archivo que subiste tendr;as que usar el striptags. Aunq también los nombres de archvio no admiten carcteres "<' ni ">" (al menos en Windows), pero no te confies de eso ya que como te dije el atacante puede mandarte una cadena malicionsa en lugar que un archivo. |
|
17/07/2011, 18:25
| ||||
| ||||
| Respuesta: Filtrar HTML, PHP, Java, etc... mira es facil , solamente has una expresion regular donde tu digas que caracteres quieres y ya , saludos
__________________ "El sabio no dice lo que piensa,pero piensa lo que dice" Att Miguel Lomeli Visita mi Blog |
| Etiquetas: |
Este tema le ha gustado a 1 personas 
