Solicito defensa contra ataque XSS a formulario php

JinSunMi · #1 (**permalink**) 08/04/2014, 10:12

Hola
Yo tenía la función eregi con php 4 en mis formularios en el campo &comentarios y este era el código

Código PHP:

  if (ereg('http:|www.|blogspot|sex-online|poker-casino|superinsuranceworld|viagra', $Comentarios)){ 
echo '<b>SPAM. No puedes incluir direcciones web en el área para comentarios,<br>por favor retíralas para poder enviar el mensaje.</b>'; 
exit; 
}else{  
} 
mail($destino,$asunto,$cuerpo,$headers); 
?>

Pero ahora sale "eregi is deprecated" y esto porque los servidores de mi página emigraron a php5

El caso es que estoy recibiendo ataques con links y spam dentro del campo &comentarios al haber retirado eregi y no haber remplazado con ninguna.

Cuando usaba eregi salía el echo "no puedes enviar mensajes...."

Me han hablado de preg_match; también de strip pero no sé implementarlos en mi
procesador.php tampoco sé sin funcionan con el echo citado, quiero que apenas detecte URLs en &comentarios no pueda enviar el mensaje

La clase PHP Input Filter tampoco sé implementarla: Debo descargarla y subirla a mi servidor en la carpeta de mi procesador.php?

También quiero evitar la inserción de envío de cualquier código (javascript, etc) dentro del campo comentarios

Gracias de antemano por la ayuda
Jin

Pd. Soy veterinaria que ha diseñado su web y que sabe poco de este y otros lenguajes

fiu · #2 (**permalink**) 08/04/2014, 11:53

tres lineas más abajo hay un post que habla de XSS échale un vistazo.
y sobre el preg_match() lo puede usar similar al otro -> link

JinSunMi · #3 (**permalink**) 08/04/2014, 12:03

No sé como implementar el del post de abajo, el que dice ser el más completo ¿Como lo hago? ¿como lo inserto y lo uso con mi procesador.php?

Hay un detalle: los datos del formulario, llegan en forma de tabla html al correo
¿estas defensas son compatibles para poder seguir recibiendo mis datos en forma de tabla?

Jin