Foros del Web » Programando para Internet » PHP »

inyeccion Sql en textarea con editor WYSIWYG

Estas en el tema de inyeccion Sql en textarea con editor WYSIWYG en el foro de PHP en Foros del Web. hola amigos del foro, tengo un pequeño problema hace unos dias instale un editor WYSIWYG en mi pag se llama tinyeditor, es para que un ...
  #1 (permalink)  
Antiguo 06/08/2010, 21:54
Avatar de spacecowboy  
Fecha de Ingreso: agosto-2009
Mensajes: 110
Antigüedad: 12 años
Puntos: 0
inyeccion Sql en textarea con editor WYSIWYG

hola amigos del foro,

tengo un pequeño problema hace unos dias instale un editor WYSIWYG en mi pag se llama tinyeditor, es para que un textarea de un formulario tuviera la opcion de que los usuarios puedan pornerles formato a sus textos, que si poner negritas, cursivas y eso... mi pregunta es, como hago para evitar codigo malisioso? inyecciones sql? ya que el texto viene con formato html
  #2 (permalink)  
Antiguo 06/08/2010, 22:01
Avatar de carlos_belisario
Colaborador
 
Fecha de Ingreso: abril-2010
Ubicación: Venezuela Maracay Aragua
Mensajes: 3.156
Antigüedad: 11 años, 5 meses
Puntos: 461
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

buenas compañero aki hablan un poco de la seguridad http://www.tufuncion.com/php_seguridad_II, en parte explican la funcion mysql_real_escape_string, entre otrasm tambien puedes usar htmlentities strip_tags bueno ahi tienes un poco de informacion mas la que puedas conceguir tu y compartir suerte
__________________
aprende d tus errores e incrementa tu conocimientos
it's not a bug, it's an undocumented feature By @David
php the right way
  #3 (permalink)  
Antiguo 06/08/2010, 22:21
Avatar de spacecowboy  
Fecha de Ingreso: agosto-2009
Mensajes: 110
Antigüedad: 12 años
Puntos: 0
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

Cita:
Iniciado por carlos_belisario Ver Mensaje
buenas compañero aki hablan un poco de la seguridad http://www.tufuncion.com/php_seguridad_II, en parte explican la funcion mysql_real_escape_string, entre otrasm tambien puedes usar htmlentities strip_tags bueno ahi tienes un poco de informacion mas la que puedas conceguir tu y compartir suerte
vale muchas gracias anteriormente ya habia posteado algo similar y me dieron una respuesta parecida

http://www.forosdelweb.com/f18/inyeccion-sql-819581/

asi que cada variable que obtengo la paso por
$var = stripslashes($var );
$var = mysql_real_escape_string($var );

antes de guardarla en la base de datos...

y cuando la muestro uso

echo nl2br("$variable");


pero me pregunto si solo eso suficiente?? ya que eso lo estoy aplicando a texto normal y este en cambio viene con formato html...

pd: al parecer tengo otro problemita, el servidor donde tengo la pag comoque no me deja pasar formato html pq muestra la variable en blanco (solo la del textarea con editor, pq los textareas normales si muestra la info ingresada) que hago???

o será que el textarea no esta relacionado?? pq los editores por lo general son IFRAME
  #4 (permalink)  
Antiguo 06/08/2010, 22:34
Avatar de carlos_belisario
Colaborador
 
Fecha de Ingreso: abril-2010
Ubicación: Venezuela Maracay Aragua
Mensajes: 3.156
Antigüedad: 11 años, 5 meses
Puntos: 461
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

bueno la misma pregunta que te haces tu me la hago yo sera eso suficiente o hay q agregarle mas y eso de que no te permita pasar el html del textarea si q no lo avia escuchado tu haces una impresion de lo que recibes del textarea y te sale algo o te sale vacio??
__________________
aprende d tus errores e incrementa tu conocimientos
it's not a bug, it's an undocumented feature By @David
php the right way
  #5 (permalink)  
Antiguo 06/08/2010, 22:38
Avatar de spacecowboy  
Fecha de Ingreso: agosto-2009
Mensajes: 110
Antigüedad: 12 años
Puntos: 0
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

Cita:
Iniciado por carlos_belisario Ver Mensaje
bueno la misma pregunta que te haces tu me la hago yo sera eso suficiente o hay q agregarle mas y eso de que no te permita pasar el html del textarea si q no lo avia escuchado tu haces una impresion de lo que recibes del textarea y te sale algo o te sale vacio??
exactamente, instale un editor wysiwyg, que solo hay que copiar un script y colorcar un id en el textarea que desees convertir en editor, pero cuando escriba algo en ese textarea con editor la variable llega vacia, no se muestra nada... y si le kito el editor entonces si llega si ningun problema...

pense que podia ser el servidor que a lo mejor tiene algun blokeador de texto html par evitar inyecciones sql, algo asi.... o quizas no se si sera problema del editor
  #6 (permalink)  
Antiguo 06/08/2010, 22:43
Avatar de carlos_belisario
Colaborador
 
Fecha de Ingreso: abril-2010
Ubicación: Venezuela Maracay Aragua
Mensajes: 3.156
Antigüedad: 11 años, 5 meses
Puntos: 461
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

bueno de verdad no tengo idea de que pueda estar pasando, la id que le crea al textarea no te modifica algo no tendras alguna validacion que te la alla cambiado al cambiar la id o algo asi??? xq de verdad eso si q no lo habia escuchado
__________________
aprende d tus errores e incrementa tu conocimientos
it's not a bug, it's an undocumented feature By @David
php the right way
  #7 (permalink)  
Antiguo 06/08/2010, 22:49
Avatar de spacecowboy  
Fecha de Ingreso: agosto-2009
Mensajes: 110
Antigüedad: 12 años
Puntos: 0
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

Cita:
Iniciado por carlos_belisario Ver Mensaje
bueno de verdad no tengo idea de que pueda estar pasando, la id que le crea al textarea no te modifica algo no tendras alguna validacion que te la alla cambiado al cambiar la id o algo asi??? xq de verdad eso si q no lo habia escuchado
vale ya me stoy dando cuenta que pasa... creo que debere abrir otro foro, al menos que sepas y me ayudes en esto porfa... resulta que el editor cuando transforma el textarea, coloca un boton que dice "ver codigo" ... es decir tienes tu texto en negritas o cursivas y eso, le das al boton ver codigo, y te muestra el texto con formato html se ven las etiquetas... si lo envio asi, la variable si se me muestra, pero si lo envio conformato no la muestra....

no se que hacer :S ya que la idea es que los usuarios solo usen la parte de formato y eviten meter mas codigo....
  #8 (permalink)  
Antiguo 06/08/2010, 22:55
Avatar de carlos_belisario
Colaborador
 
Fecha de Ingreso: abril-2010
Ubicación: Venezuela Maracay Aragua
Mensajes: 3.156
Antigüedad: 11 años, 5 meses
Puntos: 461
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

ya va te aparece un boton para mostrar el codigo html cuando esta tu pagina funcionando?? y le permite al usuario cambiarla?? bueno de verdad no lo habia escuchado pero si hablabamos de seguridad eso lo veo inseguro creo que seria bueno que abrieras otro tema y lo expusieras y si puedes pon un poco de codigo a ver si se puede modificar para que no le permita al usuario ver el html y mucho menos modificarlo aunque eso debe de tener un javascript segun lo imagino que te abre un poup donde te muestra el html eso es lo que se deberia buskr kitar si entendi bien pero bue suerte
__________________
aprende d tus errores e incrementa tu conocimientos
it's not a bug, it's an undocumented feature By @David
php the right way
  #9 (permalink)  
Antiguo 06/08/2010, 23:24
Avatar de spacecowboy  
Fecha de Ingreso: agosto-2009
Mensajes: 110
Antigüedad: 12 años
Puntos: 0
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

Cita:
Iniciado por carlos_belisario Ver Mensaje
ya va te aparece un boton para mostrar el codigo html cuando esta tu pagina funcionando?? y le permite al usuario cambiarla?? bueno de verdad no lo habia escuchado pero si hablabamos de seguridad eso lo veo inseguro creo que seria bueno que abrieras otro tema y lo expusieras y si puedes pon un poco de codigo a ver si se puede modificar para que no le permita al usuario ver el html y mucho menos modificarlo aunque eso debe de tener un javascript segun lo imagino que te abre un poup donde te muestra el html eso es lo que se deberia buskr kitar si entendi bien pero bue suerte
este es el editor que estoy usando
http://sandbox.leigeber.com/tinyeditor/
  #10 (permalink)  
Antiguo 06/08/2010, 23:37
Avatar de carlos_belisario
Colaborador
 
Fecha de Ingreso: abril-2010
Ubicación: Venezuela Maracay Aragua
Mensajes: 3.156
Antigüedad: 11 años, 5 meses
Puntos: 461
Respuesta: inyeccion Sql en textarea con editor WYSIWYG

a ok ahora si entendi bueno si tienes el fuente pudieras kitarle la opcion de q se vea el codigo html es decir kitarle el boton o desactivarle la funcion y me dijiste q cuando le das al boton y muestras el html es cuando puedes pasar el texto?? haz algo verifica la funcion que te llama cuando pisas ese boton para ver el xq cuando esta esa funcion activada si te muestra el codigo suerte

agrego
mira el textarea de este foro tambien te muestra el para las negritas cuando lo estas creando, claro el echo es q se viera de una vez la negrita pero ponle mas que todo a cuando vayas a mostrar el texto que se vea con la etiqta
__________________
aprende d tus errores e incrementa tu conocimientos
it's not a bug, it's an undocumented feature By @David
php the right way

Última edición por carlos_belisario; 06/08/2010 a las 23:43

Etiquetas: editor, sql, textarea, wysiwyg
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 03:55.