htmlentities duda

lucasphp · #1 (**permalink**) 14/09/2009, 00:58

una pregunta: si uso htmlentities para las cajas de texto en comentarios ¿puedo tener problemas de seguridad? ¿ podrían ponerme un script que no quisiera que se ejecute? porque probé agregar en una caja <script>alert("cualquier cosa");</script> y en la pantalla de usuario lo imprime textualmente, sin tirar la alerta. Aclaro que antes de imprimirlo con echo, paso html_entity_decode al resultado.
Si pudieran aclararme la duda lo agradecería.

abimaelrc · #2 (**permalink**) 14/09/2009, 01:07

No debes html_entity_decode al texto ya que si lo haces en la pantalla va a salir un alert. Esto es peligros por los ataques XSS te sugiero buscar en internet con respecto a eso. Si vas a ingresar en la base de datos debes usar mysql_real_escape_string y htmlentities debes usar para mostrar en la pantalla por si alguna persona quiere usar el ataque que te indique.

lucasphp · #3 (**permalink**) 21/09/2009, 15:45

Perdón por revivir el tema, pasa que no lo encontraba XD.
Voy a pasar entonces mysql_real_escape_string pero me queda una duda todavía.
Textualmente, cuando ingreso a la caja esto "<script>alert("ja");</script>" en la base de datos se almacena así: "&lt;script&gt;alert(&quot;ja&quot ;);&lt;/script&gt;"
y cuando paso html_entity_decode en la pantalla principal se imprime así: "<script>alert("ja");</script>" no me tira el mensaje "ja". ¿puedo tener problemas de seguridad en ese caso?

abimaelrc · #4 (**permalink**) 21/09/2009, 16:02

Busca sobre ataques XSS para que te instruyas.

lucasphp · #5 (**permalink**) 21/09/2009, 16:55

Cita:

Iniciado por abimaelrc

Busca sobre ataques XSS para que te instruyas.

Busqué sobre el tema.
En el post anterior me dijiste "No debes html_entity_decode al texto ya que si lo haces en la pantalla va a salir un alert." Precisamente lo pregunté de nuevo porque eso no me pasa. Se imprime todo como texto.

spider_boy · #6 (**permalink**) 21/09/2009, 16:58

Copia tu código, para ver mejor porque pasa D:

lucasphp · #7 (**permalink**) 21/09/2009, 17:02

Cita:

Iniciado por spider_boy

Copia tu código, para ver mejor porque pasa D:

arriba copie, es simplemente un text en el que se inserta código de javascript. Antes de ingresarlo a la base de datos lo paso por htmlentities y después para mostrarlo uso html_entity_decode. Cuando lo muestro con html_entity_decode no se ejecuta el script insertado en el text, sino que se imprime como texto.
La pregunta es ¿existe la posibilidad de que se ejecute como código si uso este método?

spider_boy · #8 (**permalink**) 21/09/2009, 17:06

Cuando envías el mensaje, primero lo pasas por htmlentities, y luego lo imprimes habiéndolo pasador por html_entity_decode? Te fijaste si estás pasándolo por otra función que podría estar parséandolo? Mejor que postees el código, pero no el que ya pusiste, sino el que sanea el dato.

abimaelrc · #9 (**permalink**) 21/09/2009, 17:07

¿Como se esta almacenando enl a base de datos?

lucasphp · #10 (**permalink**) 21/09/2009, 17:09

Cita:

Iniciado por spider_boy

Cuando envías el mensaje, primero lo pasas por htmlentities, y luego lo imprimes habiéndolo pasador por html_entity_decode? Te fijaste si estás pasándolo por otra función que podría estar parséandolo? Mejor que postees el código, pero no el que ya pusiste, sino el que sanea el dato.

estaba usando esto pasa sanar la variable

Código PHP:

  function m($cadena){
$cadena=str_replace("<","&lt;",$cadena);
$cadena=str_replace(">","&gt;",$cadena);
$cadena=str_replace("$","",$cadena);
$cadena=str_replace("\"","&quot;",$cadena);
$cadena=str_replace("*","",$cadena);
$cadena=htmlentities($cadena);
return $cadena;}

y esto para mostrar:

Código PHP:

  function d($cadena){
$cadena=html_entity_decode($cadena);
return $cadena;}

se me olvidó mencionar el str_replace XD

abimaelrc · #11 (**permalink**) 21/09/2009, 17:12

Cuando lo imprimas, mira el codigo fuente a ver si te los trae como < o como <. Yo trate esto y si funciona

Código PHP:

Ver original<?php
$v = "&lt;a&gt;";
echo html_entity_decode($v);

lucasphp · #12 (**permalink**) 21/09/2009, 17:28

en el código de fuente aparece así: <script>alert("ja");</script>

abimaelrc · #13 (**permalink**) 21/09/2009, 20:08

Primero no necesitas los str_replace, eso lo hace htmlentities.
Segundo ¿como tu usas las funciones? Podrías poner un ejemplo para poder indicarte que esta pasando.

DjMiki · #14 (**permalink**) 22/09/2009, 02:14

Bueno LucasPHP, es simple solo cuando guardes en la bd, haces la convercion con htmlentities, y normal, al momento de imprimirlo en la pagina, saldra el codigo que te ayan puesto normal, y no abra ningun problema.

lucasphp · #15 (**permalink**) 22/09/2009, 05:23

Cita:

Iniciado por DjMiki

Bueno LucasPHP, es simple solo cuando guardes en la bd, haces la convercion con htmlentities, y normal, al momento de imprimirlo en la pagina, saldra el codigo que te ayan puesto normal, y no abra ningun problema.

claro, no existe posibilidad de que se imprima script alguno, porque primero paso str_replace, lo convierto y html entities lo vuelve a convertir XD.
Gracias, por aclararme la duda. Saludos!