me hackearon!! sección de comentarios

michelson · #1 (**permalink**) 27/10/2006, 13:45

Hola amigos que tal , saben tengo un problema en mi sitio, quiza un orificio por donde me meten el ### , un problema de seguridad.

bueno yo no soy ningun experto en el tema tampoco. pèrop aqui el problema
http://www.artenlinea.cl/sitio/79/ver_artista.html

en la seccion de comentarios del catalogo web de ese personaje , esta siendo atacado por algun script que ingresa los comentarios con links y codigo html .
estos registros se guardan en una base de datos , lo cual pienso que es un poco peligroso.
por suerte es solo en ese catalogo nada mas, y hay unos 200 usuarios .. me he dado cuenta que este usuario utiliza su link bastante para dar a conocer su catalogo web en mi sitio.

y aunque el formulario esta validado contra tags < > aun asi esto sigue ocurrriendo y no tengo idea que puede ser.

vamos ...que Cluster debe saber

un saludo

Cluster · #2 (**permalink**) 27/10/2006, 13:49

Por favor .. no hagas referencia a alguien en concreto (en este caso a mi ..) por "respeto" a los demás usuarios del foro que te podrían colaborar.

Un saludo,

Cluster · #3 (**permalink**) 27/10/2006, 13:52

Bueno .. parece que está de moda atacar en forma automática "web's" o mejor dicho sistemas de "comentarios" como el que usas.

Bien .. una de las mejores soluciones es usar sistemas de "captcha" .. para que te ingresen un código como validación del mensaje que envian. Usa el buscador del foro o google .. veras soluciones al respecto.

Un saludo,

michelson · #4 (**permalink**) 27/10/2006, 14:27

Hola Cluster disculpa la referencia a tu nombre...
pero generalemtne eres tu quin me responde

revisare lo del captcha

Saludos

martin0341 · #5 (**permalink**) 27/10/2006, 16:32

te pasò....

martin0341 · #6 (**permalink**) 27/10/2006, 16:35

usa strip_tags es una funcion de php que te elimina los tags html.
Busca en el manual de php.net ahi te indica como usarlo y ademas hay un par de ejemplo.
Saludos desde rosario - utn facultad de sistemas

uk. · #7 (**permalink**) 27/10/2006, 22:50

pero ese strip_tags no impide que el comentario se envie de todas formas o si?

Escoffie · #8 (**permalink**) 28/10/2006, 10:15

Puedes usar:

htmlentities($tu_texto, ENT_QUOTES, 'UTF-8');

Esto convierte todos los signos que usa el HTML en sus entidades, es decir, transforma > en > y cosas por el estilo.
EL parámetro ENT_QUOTES le dice que haga lo mismo con las comillas para que no puedan hacer uso de éstas para manipular cadenas.

Más información sobre cómo prevenir estos ataques en: www.owasp.org

Saludos,

metacortex · #9 (**permalink**) 28/10/2006, 10:24

También vale la pena que revises este tópico. Quizás sea el mismo problema:

http://www.forosdelweb.com/f2/llegan-correos-raros-ami-cuenta-433379/

Saludos.