Hola.
Mediante un script leo el contenido de un formulario y se crea un archivo .html con él (es para que los usuarios se creen una pagina web)
Dado que no puedo usar htmlentities o htmlspecialchars ya que si lo hago todo el codigo HTML se formatea, estoy buscando alguna orden en php que evite que se introduzca codigo en php en el formulario, ya que se procesará antes de generar el archivo html, y eso es una vulnerabilidad muy grande.
Ya he puesto que se substituya <? y ?> por " " (nada), y ' por ´ y lo mínimo está echo, pero creo que aun es inseguro. Alguna sugerencia? La idea es que no se pueda ejecutar nada en php.
Aqui esta el codigo:
Código PHP:
<?
if (strlen($_POST["campohtml"]) > 2500) {
echo "<div align=\"center\">
<h3>ERROR</h3>
<p> Has superado el tamaño maximo del formulario </p>
</div>";
}
else {
$pagina_html = "".$_POST["campohtml"]."";
$pagina_html = str_replace("'","´",$pagina_html);
$pagina_html = str_replace("<?",":S",$pagina_html);
$pagina_html = str_replace("?>",":S",$pagina_html);
}
?>
Muchas Gracias