Me burlan, SI ESO ! [ con etiquetas ]

Hola amigos..
Termine de Adaptar un FORO WEB bastante
copado, [soy novato del ASP] y la cuestion
es que hoy entro al foro, y aparece lo sgte:

Data:
Foro hecho en ASP + Access

Cosas que aparcen:
a) Imagenes (se ve que insertan <img...>
b) Saltean la contraseña y user con "user"???
c) Los links me los redireccionan a YAHOO (p.ej)

En uno de esos codigos h puesto una funcion
JAVASCRIPT del tipo
<form bla bla bla onsubmit=function valida()>
en donde ... bueno ese codigo ya lo deben conocer..

No obstante el problema siguio..

Preguntas>

a) Me convendria usar (en vez de Javascript)
( por navegador V.¿?, y eso...) codigo del
tipo
TEXTO= request.form("textos")
REPLACE(TEXTO, "<", "")
REPLACE(TEXTO, ">", "")

Conviene esto ?
Sería mejor que se ejecute un comando en el Servidor (ASP) que n vez un JAVASCRIPT ??

b) Es seguro esto ????

c) Cual sería el codigo de REPLACE para
eliminar los " (las comillas?)
REPLACE(TEXTO,""", "") ??¿?¿?¿?¿?

d) SI a,b,c no funciona , que me sugieren ?

Gracias maestros del ASP, siempre salvandome
el pellejo...

Siempre atento,


LA






lucas alcalde

Bueno a ver estoy de malhumor porque te habia escrito un largo mensaje y se me tilso el %%&#~##@ M$ windoze :-p... grr no veo la hora de tener internet en la pc con linuxxx . Bueno te estaba diciendo que yo de ASP ni idea lo mio es el PHP pero te doy el concepto general. Yo hice un foro en PHP/MySQL hace un tiempo, nada muy complicado. Pero en el form de mensajes explicaba bien que se podia usar y que no .(html, caracteres). Y despues, en lugar de usar Javascript, el submit.php que guardaba el msg en la DB, eliminaba todo el html con la funcion strip_tags de php (debe haber algo asi en ASP, fijate en algun sitio de referencia). Y ademas, para dar un poco de libertad a mis usuarios, hice como tiene vBulletin.com, o como tiene FDW tambien solo que entonces no lo conocia: usas tags del tipo [img] y [/img] y luego con el script en submit.php lo reemplazas por html tradicional. De esta manera dejas que la gente haga algunas cosas pero que no se vayan al carajo, como poner iframes y esas cosas que te destruyen la disposicion de las tablas. Tu preocupacion por la seguridad, dejala. Server-side ES seguro. Client-side NO. Por una simple razon: client side viene con su codigo fuente: si lo unco que haces para restringir el html es chequearlo con JS, es simplemente cuestion de que el usuario haga su propio form y asi puede enviar lo que quiere a tu script. Lo ideal es que hagas un alert() de javascript antes de enviar avisando que los caracteres de x campo no son validos y despues que el script que postea en la DB los saque de cualquier forma. Bueno si entendes algo de C o PHP te puedo pasar el codigo fuente de mi foro para que lo veas tal vez te sirva de ayuda, es el que esta en http://membres.lycos.fr/loslacras1/verforo.php. Esta un poco destruido porque se supone que lo modere alguien pero como estamos rehaciendo toda la pagina hay mensajes que estan mal. Y acabo de darme cuenta de un error, si una palabra es muy larga no la corta y los numeritos son muchos.

<div align="center"><img src="http://cablemodem.fibertel.com.ar/sainztrapaga/images/firma.jpg" width="435" height="70" border="0">
</div>

Bueno se me acabo el lugar si te interesa el codigo fuente me pongo media pila y arreglo los pequeños erroes que tiene y te lo paso. Saludos espero que haya sido util, cualquier cosa que no hayas entendido o algo asi sobre el concepto mandame un mail en mi perfil

<div align="center"><img src="http://cablemodem.fibertel.com.ar/sainztrapaga/images/firma.jpg" width="435" height="70" border="0">
</div>

y si simplemente pones

aja... interesante solucion, este foro reemplaza la por y por

Chicos o adultos (no saberlo, eu)
Gracias por el consejo, pero con el
tema PHP no voy a entrar ahora (no time)
y con respecto a usar CLIENT o SERVER
side, Gracias por la rta. !

Pero necesito saber como reemplazar &quot; &quot; &quot;,
&quot;&quot;.
Se entiende ???
OK, entonces vamos con la funcion
REPLACE (cTEXTO,&quot;characterXXX&quot;,&quot;&quot;) ???
Es util ?

Bueno un poco mas, un poco mas !!!!

Gracias !


LUCAS

Para reemplazar una comilla por 'nada', podés hacer algo así:

REPLACE (cTEXTO,CHR(034),&quot;&quot;)

CHR(034) es el caracter correspondiente a la &quot;

Con respecto a las validaciones client-side, utilizalas... Pero igualmente, para las cosas críticas, debés hacer comprovaciones server-side.

Una de las cosas que se me ocurre para evitar que alguien se construya su propio form (con el action hacia tu script) y así evitar las validaciones en el cliente mediante javascript, es validar desde que dominio se envió dicho formulario... un ejemplo:

&lt;%
If Request.ServerVariables(&quot;HTTP_REFERER&quot;) &lt;&gt; &quot;tu-dominio.com&quot; then
Response.Write &quot;Andate al carajo, gil! ;)&quot;
End if
'resto del script que procesa TU form
%&gt;

saludos

DAZUAGA
SIN PALABRAS.

Lo tuyo, una maestria.
E X C E L E N T e idea....

( como no se nos ocurrio )
( de los Redonditos de Ricota )

Bueno che en serio, mil gracias...
Si te llegara a interesar el Foro
te lo paso, tiene USER &amp; LOGIN
y un FORO de los ejemplos de ASP
TUTOR que lo customice Bastante....

Le agregue un buen par de cosas y
sentencias... como ser, Contabilizaciones
parciales, totales, Sub Foros, y cosas
asi...

Ahora quiero armar la parte de edicion
de PROFILES y fichas personales...
Y lo Ultimo que me me faltaria para sr feliz
es lograr agregar ICONOS GESTUALES y LISTO
!!!

Pero bueno si lo llegaras a necesitar,
todo tuyo...

Ahhh by the way, estoy con ganas de Armar
un WEB REFERAL ANALYZER autmatico, es decir
que sea CUSTOMIZABLE y Automatico para
Mediante de ASP, VB y Access DB poder
medir el Clickeo (cantidad) de cualquier
elemento (imagn, etc) dentro de un Site
(propio) o fuera de él.

Esto sería para cuando haces intercambios
de Banners, solo te logees en una conosola
generes un LINK (con un Path establecido)
lo genere, y le mandes desde ahi un mail
al interesado (cuerpo de mensaje pre-seteado)
con el Link de referencia y la IMAGEN
(p.ej. un banner)

Asimismo que desde ellas puedas hacer varios
tipos de Consultas
( Estadisticas FROM &quot;x&quot; country )
Los TOP 50
POR FECHA
etc.

Cuando lo haga y lo termine lo publicaré
aqui en la Seccion ASP.

Este FORO me dio tanto, y tantas soluciones
que me siento obligado a hacer algo mas
alla por todos Uds.

De lo que se, el 30% lo aprendi en cursos
y el 70% aqui.

Ciao
Abrazo

LUCAS
;)


lucas alcalde