Foros del Web » Programando para Internet » PHP »

Inyección de codigo HTML...

Estas en el tema de Inyección de codigo HTML... en el foro de PHP en Foros del Web. Buenas... se habla mucho de inyección de código SQL pero q hay del HTML??? hoy he entrado en el miniforo de NokTemplates y he vsto ...
  #1 (permalink)  
Antiguo 08/09/2005, 09:56
 
Fecha de Ingreso: junio-2002
Mensajes: 243
Antigüedad: 15 años, 6 meses
Puntos: 1
Inyección de codigo HTML...

Buenas...

se habla mucho de inyección de código SQL pero q hay del HTML???

hoy he entrado en el miniforo de NokTemplates y he vsto que la han inyectado código html...en una consulta mysql claro está...

en principio no es q sea perjudicial para la integridad de la base de datos y la seguridad de la web pero si q es bastante molesto...

podéis verlo vosotros mismos...

http://www.jpw.com.ar/foro.php

Me gustaría saber que medidas adoptáis para prevenir la inyección de código HTML...

ya sean expressiones regulares o otros métodos.

Salu2.
  #2 (permalink)  
Antiguo 08/09/2005, 10:01
 
Fecha de Ingreso: diciembre-2004
Mensajes: 6
Antigüedad: 13 años
Puntos: 0
la solucion mas simple a mi parecer es usar un htmlentities() antes a las variables que estan enviando al SQL. Esta funcion lo que hace es cambiar los "<" y ">" por sus codigos aunque van a seguir ahi las etiquetas cuando se muestre la consulta pero no se van a aplicar. No es una solucion optima, pero es la mas simple.
  #3 (permalink)  
Antiguo 09/09/2005, 07:36
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
También puedes hacer un strip_tags() si realmente no quieres nada que esté entre < .. > como suele pasar con etiquetas HTML, PHP .. etc ...

Por otro lado .. por ahí mismo pueden llegar otro tipo de "ataques" de los que también hay que cuidarse:

XSS (Cross Site Scripting)
http://foro.elhacker.net/index.php/topic,32042.0.html
http://pixel-apes.com/safehtml

Un saludo,
  #4 (permalink)  
Antiguo 09/09/2005, 10:16
 
Fecha de Ingreso: junio-2002
Mensajes: 243
Antigüedad: 15 años, 6 meses
Puntos: 1
Pues muchas gracias...

me leeré estos artículos a ver q dicen de interés...

SAlu2.
  #5 (permalink)  
Antiguo 09/09/2005, 13:14
 
Fecha de Ingreso: septiembre-2005
Mensajes: 51
Antigüedad: 12 años, 3 meses
Puntos: 0
Yo uso htmlspecialchars($variable);
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 11:36.