Inyección de codigo HTML...

lotusxxl · #1 (**permalink**) 08/09/2005, 08:56

Buenas...

se habla mucho de inyección de código SQL pero q hay del HTML???

hoy he entrado en el miniforo de NokTemplates y he vsto que la han inyectado código html...en una consulta mysql claro está...

en principio no es q sea perjudicial para la integridad de la base de datos y la seguridad de la web pero si q es bastante molesto...

podéis verlo vosotros mismos...

http://www.jpw.com.ar/foro.php

Me gustaría saber que medidas adoptáis para prevenir la inyección de código HTML...

ya sean expressiones regulares o otros métodos.

Salu2.

tvigouroux · #2 (**permalink**) 08/09/2005, 09:01

la solucion mas simple a mi parecer es usar un htmlentities() antes a las variables que estan enviando al SQL. Esta funcion lo que hace es cambiar los "<" y ">" por sus codigos aunque van a seguir ahi las etiquetas cuando se muestre la consulta pero no se van a aplicar. No es una solucion optima, pero es la mas simple.

Cluster · #3 (**permalink**) 09/09/2005, 06:36

También puedes hacer un strip_tags() si realmente no quieres nada que esté entre < .. > como suele pasar con etiquetas HTML, PHP .. etc ...

Por otro lado .. por ahí mismo pueden llegar otro tipo de "ataques" de los que también hay que cuidarse:

XSS (Cross Site Scripting)
http://foro.elhacker.net/index.php/topic,32042.0.html
http://pixel-apes.com/safehtml

Un saludo,

lotusxxl · #4 (**permalink**) 09/09/2005, 09:16

Pues muchas gracias...

me leeré estos artículos a ver q dicen de interés...

SAlu2.

Yugioh123 · #5 (**permalink**) 09/09/2005, 12:14

Yo uso htmlspecialchars($variable);