Foros del Web » Programando para Internet » PHP »

Filtrar HTML, PHP, Java, etc...

Estas en el tema de Filtrar HTML, PHP, Java, etc... en el foro de PHP en Foros del Web. Buenas foreros de la web! Estoy buscando un script, osea una función... o algo... que me filtre los dátos entrantes de los formularios. ¿Que quiero ...
  #1 (permalink)  
Antiguo 17/07/2011, 10:57
 
Fecha de Ingreso: abril-2010
Ubicación: Ping: BSAS - Arg
Mensajes: 791
Antigüedad: 14 años
Puntos: 25
Filtrar HTML, PHP, Java, etc...

Buenas foreros de la web!

Estoy buscando un script, osea una función... o algo... que me filtre los dátos entrantes de los formularios.

¿Que quiero decir con eso?

Si alguien quiere inyectar php, java o algo por un form, que quite los elementos de html, java, php, etc, que estén intentando inyectar y deje el texto límpio.

Gracias desde ya!
  #2 (permalink)  
Antiguo 17/07/2011, 11:01
Avatar de Gurrutello  
Fecha de Ingreso: enero-2002
Ubicación: Ontario,Toronto [Canada]
Mensajes: 2.017
Antigüedad: 22 años, 2 meses
Puntos: 6
Respuesta: Filtrar HTML, PHP, Java, etc...

Hola
$datos = strip_tags($_POST['tus_datos']);

http://php.net/manual/en/function.strip-tags.php

saludos
__________________
Un Saludo
www.tutores.org
Asp | Php | Javascript | Perl | Coldfusion | Flash | +- 2000 codigos
  #3 (permalink)  
Antiguo 17/07/2011, 11:08
Avatar de Danielfuzz  
Fecha de Ingreso: septiembre-2007
Mensajes: 111
Antigüedad: 16 años, 6 meses
Puntos: 18
Respuesta: Filtrar HTML, PHP, Java, etc...

Hola dezagus, lo que Gurrutelo te indica es bastante útil, también deberias tomar en cuenta algunas cosas como la inyección sql, para ello lo siguiente extraído de wikipedia:

Cita:
PHP
En el lenguaje PHP, hay diferentes funciones que pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Para MySQL, la función a usar es mysql_real_escape_string:
Código PHP:
$query_result mysql_query("SELECT * FROM usuarios WHERE nombre = \"" mysql_real_escape_string($nombre_usuario) . "\""); 
Ahora si usas un framework, podrias usar su clase de seguridad o su clase para BD que te brindan mayor seguridad a la hora de realizar consultas a la BD. Por ejemplo yo uso CodeIgniter que tiene su active record que te proporciona escape automático en sus consultas.

Si deseas podrías darle un leída a http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL aunque sé que hay articulos más completos en cuanto a seguridad e inyección sql.

Saludos

Última edición por Danielfuzz; 17/07/2011 a las 11:10 Razón: agregando links
  #4 (permalink)  
Antiguo 17/07/2011, 12:52
 
Fecha de Ingreso: abril-2010
Ubicación: Ping: BSAS - Arg
Mensajes: 791
Antigüedad: 14 años
Puntos: 25
Respuesta: Filtrar HTML, PHP, Java, etc...

Mil Gracias a los dos!
Maté dos pajaros de un tiro!
  #5 (permalink)  
Antiguo 17/07/2011, 13:07
 
Fecha de Ingreso: abril-2010
Ubicación: Ping: BSAS - Arg
Mensajes: 791
Antigüedad: 14 años
Puntos: 25
Respuesta: Filtrar HTML, PHP, Java, etc...

Ah, una duda.
En los form para cargar archivos, hay que poner strips tags? o solo en los forms de carga de texto?

Gracias desde ya!
  #6 (permalink)  
Antiguo 17/07/2011, 16:24
Avatar de Danielfuzz  
Fecha de Ingreso: septiembre-2007
Mensajes: 111
Antigüedad: 16 años, 6 meses
Puntos: 18
Respuesta: Filtrar HTML, PHP, Java, etc...

strip_tags() sirve para eliminar todas las etiquetas html del string que le pases como parámetro, es decir si haces esto:

Código PHP:
$texto strip_tags('<script>alert("hola")</script><b>titulo</b>'); 
la variable texto quedaría así:

Cita:
alert("hola")"titulo
osea te quita las etiquetas.

Este strip_tags deberias usar en todos tus campos text, textarea, checkbox (ya que el atacante puede ingeniarselas para enviarte un texto con el nombre del checkbox), radio buttons, etc. No creo q sea necesario que uses para campos file ya que es el nombre de un archivo que lo procesa el servidor y no a nivel de codigo si no a nivel binario, aunq si vas a imprimir el nombre del archivo que subiste tendr;as que usar el striptags.


Aunq también los nombres de archvio no admiten carcteres "<' ni ">" (al menos en Windows), pero no te confies de eso ya que como te dije el atacante puede mandarte una cadena malicionsa en lugar que un archivo.
  #7 (permalink)  
Antiguo 17/07/2011, 18:25
Avatar de duskrow  
Fecha de Ingreso: abril-2008
Mensajes: 267
Antigüedad: 16 años
Puntos: 8
Respuesta: Filtrar HTML, PHP, Java, etc...

mira es facil , solamente has una expresion regular donde tu digas que caracteres quieres y ya , saludos
__________________
"El sabio no dice lo que piensa,pero piensa lo que dice"
Att Miguel Lomeli
Visita mi Blog
  #8 (permalink)  
Antiguo 18/07/2011, 14:35
 
Fecha de Ingreso: abril-2010
Ubicación: Ping: BSAS - Arg
Mensajes: 791
Antigüedad: 14 años
Puntos: 25
Respuesta: Filtrar HTML, PHP, Java, etc...

Gracias :)!

Etiquetas: filtrar, html, java, formulario
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 01:31.