Evitar intrusión del tipo siguiente

jorgivaz · #1 (**permalink**) 19/01/2007, 05:31

Como puedo validar que si tengo programado un foro, me metan en la caja de texto algo tipo:

<META HTTP-EQUIV="refresh"
content="0;URL=http://www.url.com/"> ????

Ya depaso creo que de igual forma que se podrá controlar esto se podrá controlar que metan metas o códigos html no ?

jorgivaz · #2 (**permalink**) 19/01/2007, 05:37

Yo mismo me respondo, para los que busquen lo mismo que ya encontre un ejemplo.

Código PHP:

  <?php Function Verifpost ($post)  
{  
 
$temp = $post;  
$temp = preg_replace("/(\015\012)|(\015)|(\012)/","",$temp);  
$temp = strtolower($temp);  
$lg = strlen($temp);  
for ( $i=0 ; $i<$lg ; $i++)  
{  
   if ( ($temp[$i])== " " )  // si espace  
     {  
        for ( $j = $i ; $j < $lg ; $j++)  
                $temp[$j] = $temp[$j+1];  
        $lg-- ;  
                $i-- ;  
     }  
}  
 
if (ereg ( "table>" , $temp) or ereg ( "tr>",$temp) or ereg ("td>",$temp) or  
    ereg("script>",$temp) or ereg("meta>",$temp) or ereg("frame>",$temp) or  
    ereg("iframe>",$temp) or ereg("style>",$temp) or ereg("form>",$temp) or  
    ereg("input>",$temp) or ereg("select>",$temp) or ereg("div>",$temp) or  
    ereg("layer>",$temp) or ereg("option>",$temp) or ereg("body>",$temp) or  
    ereg("html>",$temp) or ereg("onclick",$temp) or ereg("<img",$temp) or  
    ereg("src>",$temp) or ereg("object>",$temp) or ereg("<applet",$temp) or  
    ereg ( "<table" , $temp) or ereg ( "<tr",$temp) or ereg ("<td",$temp) or  
    ereg("<script",$temp) or ereg("<meta",$temp) or ereg("<frame",$temp) or  
    ereg("<iframe",$temp) or ereg("<style",$temp) or ereg("<form",$temp) or  
    ereg("<input",$temp) or ereg("<select",$temp) or ereg("<div",$temp) or  
    ereg("<layer",$temp) or ereg("<option",$temp)  or ereg("<body",$temp) or  
    ereg("<html",$temp) or ereg("onclick",$temp) or ereg("<src",$temp) or  
    ereg("<object",$temp) or ereg("applet>",$temp) )  
    return (false) ;  
  else  
   return (true) ;  
 
}  
 
?>

seanchan · #3 (**permalink**) 19/01/2007, 07:00

strip_tags()

http://es2.php.net/manual/es/function.strip-tags.php

david_M_G · #4 (**permalink**) 19/01/2007, 07:50

Basta con quitar el HTML de la string, y para eso es mejor usar las funciones que vienen con PHP, que para eso están...

htmlspecialchars()

Código PHP:

  <?
$cadena = "<META HTTP-EQUIV="refresh" content="0;URL=http://www.url.com/">";

$cadena_que_quieres_mostrar = htmlspecialchars($cadena);

echo $cadena_que_quieres_mostrar; //Saldria escrito <meta... blabla, como texto plano. NO HTML.
?>

http://es2.php.net/manual/es/functio...ecialchars.php

nicolaspar · #5 (**permalink**) 19/01/2007, 08:12

Para el html como te han dicho arriba, htmlspecialchars, htmlentities, o strip_tags...
Para xss usate esta función snipplr.com/view/1848/php--sacar-xss/