Foros del Web » Programando para Internet » PHP »

Problemas de inyeccion HTML, como lo evito?

Estas en el tema de Problemas de inyeccion HTML, como lo evito? en el foro de PHP en Foros del Web. Buenas buenas!!! Bien, les cuento. Tengo un par de formularios que graban a una base de datos. estan hechos desde el php con el : ...
  #1 (permalink)  
Antiguo 10/03/2006, 12:45
Usuario no validado
 
Fecha de Ingreso: junio-2004
Mensajes: 37
Antigüedad: 13 años, 5 meses
Puntos: 1
Sonrisa Problemas de inyeccion HTML, como lo evito?

Buenas buenas!!!

Bien, les cuento.

Tengo un par de formularios que graban a una base de datos.
estan hechos desde el php con el : echo <<< HTML /// HTML;y dicen algo asi:

Código PHP:
echo <<< HTML
<form action='$PHP_SELF?accion=grabartarea&data=segunda' method='post'>
&nbsp;
<input type='hidden' name='Nombre2' id='Nombre2' value='$usuario_activo'/>
<input type='hidden' name='Fechacumplido' id='Fechacumplido' value='$Fechacumplido'/>
<input type='hidden' name='graveyard' id='graveyard' value='$graveyard'/>
<input type='hidden' name='id' id='id' value='$id'/>
  <table width='700' border='0' align='center' cellpadding='0' cellspacing='0'>
    <tr>
      <td width='75'>&nbsp;</td>
      <td width='550'><table width='580' border='1' align='center' cellpadding='3' cellspacing='0' bordercolor='#CCCCCC'>
        <tr>
          <td colspan='4' bgcolor='#0099FF'><table width='100%' border='0' cellspacing='0' cellpadding='0'>
            <tr>
              <td><div align='center'><font face='Verdana, Arial, Helvetica, sans-serif' size='1'><b><font color='#FFFFFF'>.:
                        Carga de Tareas Programadas &Aacute;rea Programaci&oacute;n:.</font></b></font></div>                <div align='center'><font face='Verdana, Arial, Helvetica, sans-serif' size='1'><b><font color='#FFFFFF'><a href='$pag?tabla=$graveyard&amp;id=$Idorigen'></a></font></b></font></div></td>
              </tr>
          </table></td>
        </tr>
        <tr>
          <td width='100' bgcolor='#00CCCC'><div align='right'><strong><span class='style9 style1 style2'>Nombre:</span></strong></div></td>
          <td colspan="3" bgcolor='#FFFFEA'><span class="style9 style1 style2">$usuario_activo</span></td>
          </tr>
        <tr>
          <td width="100" bgcolor='#00CCCC'><div align='right'><strong><span class='style9 style1 style2'>Tipo
            de programación :</span></strong></div></td>
          <td width="190" bgcolor='#FFFFEA'><font face='Arial, Helvetica, sans-serif'>
            <select name='Tipoprog' id='Tipoprog' class='style9 style1 style2'>
              <option>No especificada</option>
              <option value="Clase">Clase</option>
              <option value="Tabla">Tabla</option>
              <option value="Form">Form</option>
              <option value="Función">Funci&oacute;n</option>
              <option value="Reporte">Reporte</option>
              <option value="Programa">Programa</option>
              <option value="Store">Store</option>
              <option value="Trigger">Trigger</option>
              <option value="Menu">Men&uacute;</option>
                                                            </select>
          </font></td>
          <td width="80" bgcolor='#00CCCC'><div align='right'><strong><span class='style9 style1 style2'> Programa:</span></strong></div></td>
          <td width="210" bgcolor='#FFFFEA'><font face='Arial, Helvetica, sans-serif'>
            <input name="Nombreprog" type="text" class="style9 style1 style2" id="Nombreprog" value="" size="30" />
          </font></td>
          </tr>
        
        <tr>
    <td height='10' colspan='4'>    </td>
        </tr>
        <tr>
          <td colspan='2' bgcolor='#00CCCC'><div align='left'><strong><span class='style9 style1 style2'>Descripci&oacute;n
            de Programaci&oacute;n:</span></strong></div></td>
          <td colspan='2' bgcolor='#00CCCC'><div align='left'><strong><span class='style9 style1 style2'>Causa:</span></strong></div></td>
          </tr>
        <tr>
          <td colspan='2' align="left" valign="top" bgcolor='#FFFFEA'><font face='Arial, Helvetica, sans-serif'>
            <textarea name='Descripprog'  cols='43' rows='3' id='Descripprog' class='style9 style1 style2'></textarea>
          </font></td>
          <td colspan='2' align="left" valign="top" bgcolor='#FFFFEA'><font face='Arial, Helvetica, sans-serif'>
            <textarea name='Causaprog' cols='43' rows='3' id='Causaprog' class='style9 style1 style2'></textarea>
          </font></td>
          </tr>
        
        
        <tr>
          <td height='48' colspan='4'><table width='500' border='0' align='center' cellpadding='0' cellspacing='0'>
              <tr>
                <td height='40'>
                <div align="center">
                  <input name='Grabar' type='submit' class='botones' value='Grabar' />                    
                </div></td>
                <td>
                <div align="center">
                  <input name='Grabar' type='submit' class='botones' value='Grabar y Cargar Nuevo' />                    
                </div></td>
                <td>
                <div align="center">
                  <input name='Grabar' type='submit' value='Cancelar' class='botones'/>                
                </div></td>
                </tr>
          </table></td>
          </tr>
      </table></td>
      <td width='75'>&nbsp;</td>
    </tr>
  </table>
  </form>
HTML; 

Estos datos se guardasn y despues son paginados en un listado, cuando son requeridos

El tema es que cuando inserto textos... ( en la base graba como texto) ... textos como por ejemplo lo siguiente:

<input type='button' value='esto no tiene que estar acá'>

en vez de que aparezca algun texto, me aparece, juajua!!, el boton!!!


Alguna sugerencia???


:)

Gracias desde ya!!!

Atte/
Yo!!
  #2 (permalink)  
Antiguo 10/03/2006, 12:56
Usuario no validado
 
Fecha de Ingreso: junio-2004
Mensajes: 37
Antigüedad: 13 años, 5 meses
Puntos: 1
:)

estoy viendo y no se que puede ser... PARANOIA!!!
  #3 (permalink)  
Antiguo 10/03/2006, 13:27
Avatar de SiR.CARAJ0DIDA  
Fecha de Ingreso: junio-2004
Ubicación: Acá
Mensajes: 1.166
Antigüedad: 13 años, 5 meses
Puntos: 4
htmlentities() escapa los caracteres HTML
__________________
Internet Explorer SuckS
Download FireFox
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:08.