Impedir SQL inyection, pero permitir HTML...

Hola gente:

Me ha entrado una duda inmensa.

Hasta hoy lo que hacia en mi panel (para subir noticias y demas) era reemplazar las <, > y " por su respectivo codigo HTML, con ello evitaba algunas inyecciones de codigo malintencionado.

La duda me surgio ahora que necesito, obviamente, impedir la inyeccion de codigo pero, a su vez, permitir codigo HTML.

Obviamente ya no puedo reemplazar etiquetas como < y >, o utilizar funciones que habitualmente usamos para para convertir html a texto "plano"...

Si alguien me da una mano se lo agradeceria mucho...

PD: Pido perdon si ya se trato este tema... utilice el buscador pero no encontre una consulta similar... (si de SQL inyection)

Puedes usar la funcion htmlentities() y luego cuando sacas la información de la base de datos usar html_entity_decode() que es la función opuesta a htmlentities.

Más información en www.php.net/html_entity_decode

Saludos,

Primero que nada, SQL Injection no tiene nada que ver con la inyeccion de codigo HTML.

Si queres evitar inyecciones SQL, podes usar addslashes(), siempre igual te conviene chequear que el servidor no lo este haciendo automaticamente, con la funcion get_magic_quotes_gpc().

Para evitar HTML Injection, podes usar como dijeron arriba la funcion htmlentities(), pero si despues usas html_entity_decode() las devolves a su estado natural, por lo que vas a ser vulnerable.

Tambien podes usar htmlspecialchars(), que creo que es mas conveniente, ya que htmlentities() tambien te va a convertir los acentos, y demas.

Pero para tu caso, que queres permitir HTML, pero evitar la inyeccion de codigo, creo que lo mejor seria que uses la funcion strip_tags(), pasandole como parametro, los tags que SI queres que esten permitidos.

Ejemplo:

Pero igual tampoco es tan seguro, porque pueden tener tags anidados, y esta funcion no realiza una comprobacion muy exausta.

Asi que, como recomendacion, usar bbcode. O sino chequeate este script, realmente yo no lo uso, pero recien hice un par de pruebas y parece bueno.

http://pixel-apes.com/safehtml

sergiold, utilizare lo que tu dices de hacer un htmlentities() y luego html_entity_decode().

Master Solution, ¿en que momento mencioné que Inyección SQL fuera lo mismo que inyección HTML?

Por otra parte, no hay alguna funcion estilo strip_tags($texto, '<b>') pero que haga LO CONTRARIO, es decir, permitir todos los tags, menos los que especifiquemos... creo que sería mas conveniente puesto que, como en mi caso, solo deseo descargar etiquetas como "<head>", "<body>", etc...

Saludos y gracias por todo.

si permitis html es porque confias en el que envia el texto, y si confias ni hace falta no permitir ciertos tags..

El tema es que, como dices, confio en quien va a subir el HTML, pero no estoy seguro de su conocimientos sobre HTML.

Entonces quizas quiera solamente hacer una tabla, pero como no sabe usar <table><tr><td>....</td></tr></table>, decide utilizar algun editor al estilo FrontPage y luego copie TODO el HTML en lugar de solo las tablas...

Igualmente esto puedo eliminarlo con expresiones regulares...

Saludos.

podes armar unos botoncitos para insertar html como hice yo, salvo q solo hice para cosas muy comunes como links, imagenes, negrita, cursiva y listas. si queres el code te lo paso.

pd: podes tutearme, pronto voy a mudarme a don torcuato :P

Entonces usa safeHTML, te permite cualquier tag HTML, menos cualquier cosa que no sea segura.

http://www.pixel-apes.com/safehtml/

Creo que es lo mejor, y ademas lo de los botones, tambien le puede servir al usuario.

Si si, lo de los botones esta, de hecho, lo que estoy haciendo es justamente un panel administrativo bastante "grafico" para que el usuario inexperto no se pierda; en el mismo panel tiene la opcion de escribir BBCode o HTML. Despues cuando lo termine (version 1.01 casi toda en xhtml 1.1) subo algunas imagenes....

SIR, bienvenido al barrio!, por que calles te mudas?