Foros del Web - Ver Mensaje Individual

Pitunetix · #3 (**permalink**) 25/01/2011, 20:33

Yo me estoy encontrando con un problema en el libro de visitas de mi web ya que estoy siendo atacado con XSS.. aca les dejo el php..

Código PHP:

Ver original/* Informacion de la Base de Datos */
                            $host = "xxx";
                            $user = "xxx";
                            $pass = "xxx";
                            $db_name = "xxx";
                            
                            /* Me conecto a la base de datos */
                            $db = mysql_connect($host, $user, $pass);
                            mysql_select_db($db_name,$db);
                            
                            $enviar = $_POST["enviar"];
                            if (isset($enviar)) {
                                
                                /* Si no existen la tabla la creo. */
                                $query =
                                "
                                CREATE TABLE visitante (
                                    nombre char(64),
                                    apellido char(64),
                                    website char(64),
                                    comentario LONGTEXT
                                );
                                ";
                                
                                /* Si la tabla ya existia va a dar un error, pero no importa! */
                                mysql_query($query, $db);
                                
                                /* Obtengo los datos ingresados por el usuario */
                                $nombre = mysql_real_escape_string($_POST["nombre"]);
                                $apellido = mysql_real_escape_string($_POST["apellido"]);
                                $website = mysql_real_escape_string($_POST["sitio"]);
                                $comentario = mysql_real_escape_string($_POST["mensaje"]);
                                
                                $query = "INSERT INTO visitante VALUES ('$nombre','$apellido','$website','$comentario');";
                                mysql_query($query, $db);
                            }
                            ?>

Código PHP:

Ver original<?php
                            $query = "SELECT nombre, apellido, website, comentario FROM visitante;";
                            $result = mysql_query($query, $db);
                            if ($result) {            
                                while ($v=mysql_fetch_row($result)) {
                                    print(
                                    "
                                    <tr>
                                      <td>
                                        <hr>
                                        <b><font color=#0080FF>Nombre:</font></b> $v[0]<br>
                                        <b><font color=#0080FF>Apellido:</b></font> $v[1]<br>
                                        <b><font color=#0080FF>Website:</b></font> $v[2]<br>
                                        <b><font color=#0080FF>Comentario:</b></font>
                                        $v[3]
                                      </td>
                                    </tr>
                                    \n
                                    ");
                                }
                            }
                            ?>

Código PHP:

Ver original<?php
                   /* Cierro la conexion con la base de datos. */
                   mysql_close($db);
                ?>

Quisiera saber si me pueden dar una mano para proteger mi PHP contra ataques XSS.. muchas gracias!!!