Validando datos que introduzce el usuario.

Vean esta funcion y diganme que les parece para pasar por ella todo GET_ y POST antes de usarlo



function valid($mensaje){


//esta funcion retira caracteres html

$mensaje = str_replace("<","&lt;",$mensaje);

$mensaje = str_replace(">","&gt;",$mensaje);

$mensaje = str_replace("\'","'",$mensaje);

$mensaje = str_replace('\"',"&quot;",$mensaje);

$mensaje = str_replace("\\\\","\\",$mensaje);

// escapando todos los valores que puedan interferir en mysql_query
$mensaje = addslashes($mensaje);

//retirando palabras reservadas del sistema
$mensaje = str_replace("SELEC","",$mensaje);
$mensaje = str_replace("OR","",$mensaje);
$mensaje = str_replace("UNION","&lt;",$mensaje);


return $mensaje;

}

La parte en la que retiro SELEC, OR y UNION, creo se si se pueden poner sus caracteres HTML, tengo que mirarme eso.

Esta funcion la quieres utilizar para evitar XSS?

Saludos.

Puedes usar xajax para validar al momento

Un saludo

Esta funcion se supone que es para prevenir la inyeccion de SQL y de HTML.

Sobre lo de usar XAJAS, cualquier cosa que lleve Javascript se puede saltar facilmente.

Que les parece, le encuentran algun fallo?.

Ademas de esta funcion, siempre que sea posible, habria que usar una regla, para que el resultado sea siempre el esperado.

Te recomiendo darle un ojo a esto: Kallahar's Place: PHP XSS (cross site scripting) filter function

Saludos.