mostrar texto con html_entity_decode

cocodj69 · #1 (**permalink**) 26/04/2010, 02:45

Necesito visualizar código html a través de la función html_entity_decode(). El problema es que dicho código proviene de un editor WYSIWYG por parte del usuario existiendo la posibilidad de existir etiquetas script, style, import, ... y así producirse ataques XSS o CSRF.

Me pregunto si la mejor forma de evitar esto es limpiar el código ( eliminando tags maliciosas así como dando estilo a los tags -> style=' ' ) antes de introducirlo en la DDBB o limpiar el código cuando visulizamos el contenido en pantalla?

Un saludo

Jose

abimaelrc · #2 (**permalink**) 26/04/2010, 08:11

Eso va a depender de lo que quieras hacer. Si lo que quieres es contenido solamente, no es necesario ingresarlo en la base de datos, si lo que deseas es también los estilos, no veo inconveniente en ingresarlo en la base de datos, siempre y cuando la aplicación evites que al imprimir la información lo muestres para evitar lo que mencionas.

BaEEz_ · #3 (**permalink**) 26/04/2010, 08:46

Seria mejor limpiar el codigo antes de insertarlo en la base datos asi ahorras recursos y memoria RAM, si lo limpias cada que imprimes en pantalla esto consume más recursos por que si lo estas mostrando en un sitio que recibe 1000 visitas, entonces se ha limpiado el codigo 1000 veces, a un que estamso hablando de milesimas de segundo lo que tarda en mostrar los datos, pero en programación ahi que ser muy codo/egoista con la memoria ram.

cocodj69 · #4 (**permalink**) 26/04/2010, 09:26

Si, siempre soy partidario de limpiar el código antes de insetarlo en DDBB. El único inconveniente es saber cuales son las tags que pueden ser un problema: script, css, ...

¿Hay alguna forma de saber las tags que suponen una amenaza?

Grácias por las respuestas!

spider_boy · #5 (**permalink**) 26/04/2010, 09:27

Esto te puede ayudar : strip_tags

Lo que hace es eliminar los tags tanto de HTML como de PHP, así te evitarías tener que verificar manualmente si contienen tags o no.

abimaelrc · #6 (**permalink**) 26/04/2010, 09:29

Bueno te recomiendo que leas sobre la función strip_tags.

cocodj69 · #7 (**permalink**) 26/04/2010, 09:41

Hay un inconveniente: Si elimino los tags posteriormente cuando quiera acceder al texto a través del editor WYSIWYG para realizar algún tipo de modificación, el texto no mantendrá el estado original!!

Necesito que el texto sea HTML para mantener el formato!!!

¿Que hago entonces?

abimaelrc · #8 (**permalink**) 26/04/2010, 09:49

Como te indique eso va a depender de lo que quieras hacer. En tu caso, puedes eliminar o modificar cuando muestres en la página.

cocodj69 · #9 (**permalink**) 26/04/2010, 09:52

ok grácias!! De todas formas necesito tener muy claro cuales son las tags que pueden causar problemas!!

zerpico_01 · #10 (**permalink**) 26/04/2010, 10:00

Cita:

Iniciado por cocodj69

Necesito visualizar código html a través de la función html_entity_decode(). El problema es que dicho código proviene de un editor WYSIWYG por parte del usuario existiendo la posibilidad de existir etiquetas script, style, import, ... y así producirse ataques XSS o CSRF.

Me pregunto si la mejor forma de evitar esto es limpiar el código ( eliminando tags maliciosas así como dando estilo a los tags -> style=' ' ) antes de introducirlo en la DDBB o limpiar el código cuando visulizamos el contenido en pantalla?

Un saludo

Jose

Si entendi bien, estas usando
WYSIWYG editor, debes configurarlo, o desde el codigo javascript quita las etiquetas que no desees, como --> style, script, javscript etc etc etc
Normalmente las etiquetas maliciosas bienen desbilitadas, mira que estes usando la ultima version del
WYSIWYG ...

saludos!!!

cocodj69 · #11 (**permalink**) 26/04/2010, 10:08

El problema no es al insertar etiquetas con botones habilitados del editor, sino al introducir texto plano...

'Hola esto es texto

<script>alert('Hola!');</script>
';

BaEEz_ · #12 (**permalink**) 26/04/2010, 16:10

Cita:

Iniciado por cocodj69

El problema no es al insertar etiquetas con botones habilitados del editor, sino al introducir texto plano...

'Hola esto es texto

<script>alert('Hola!');</script>
';

Ok si no quieres eliminar los tags maliciosos puedes convertirlos a su entidad HTML, es decir primero los almacenas en BD con su ENTIDAD HTML equivalente, asi cuando lo imprimas no va salir una ALERTA que diga HOLA, si no simplemente <script>alert('Hola!');</script> y cuando lo tengas que editar lo DECODIFICAS a su etiqueta html equivalente.

Todo eso se puede lograr con htmlspecialchars y htmlspecials_decode (no recuerdo bien el nombre de las funciones busca en php.net)

cocodj69 · #13 (**permalink**) 27/04/2010, 01:36

Cita:

Iniciado por BaEEz_

Ok si no quieres eliminar los tags maliciosos puedes convertirlos a su entidad HTML, es decir primero los almacenas en BD con su ENTIDAD HTML equivalente, asi cuando lo imprimas no va salir una ALERTA que diga HOLA

Si imprimo el texto sin decodificar las entidades HTML, el código aparece de la siguiente manera...

<p>Hola</p> <script>alert();</script> <u>buenos dias</u>

No salta el javascript pero no se interpreta el HTML. es necesario aplicar la función html_decode_tags() y entonces se ejecuta el alert().

De todas formas, no se porque pero cuando recibo el texto ( POST ) del editor WYSIWYG para insertarlo en la DDBB, si he formateado el texto del editor con los botones disponibles el texto lo recibo con etiquetas ( <u>hola</u>... ) y si he escrito texto directamente ( <u>pepe</u> ) lo recibo como entidades ( <u>pepe</> ). Esto lo hace el editor por seguridad????

zerpico_01 · #14 (**permalink**) 27/04/2010, 13:16

Ya te he dicho los editores html traen opciones y funciones que elminaran todo tag malicioso, en algunos puedes cambiar esto en otro no :