Filtro para Sistema de Comentarios

dezagus · #1 (**permalink**) 06/01/2011, 13:05

Hola a todos, cree un pequeño código para filtrar cualquier código que quieran poner en mis comentarios.

Me gustaría saber si lo está bien o falta agregar algo

Código PHP:

  
<?php 
 
function filter($tofilter){ 
 
// General 
$tofilter=str_replace("<","",$tofilter); 
$tofilter=str_replace(">","",$tofilter); 
$tofilter=str_replace("{","",$tofilter); 
$tofilter=str_replace("}","",$tofilter); 
$tofilter=str_replace("[","",$tofilter); 
$tofilter=str_replace("]","",$tofilter); 
$tofilter=str_replace("(","",$tofilter); 
$tofilter=str_replace(")","",$tofilter); 
$tofilter=str_replace("/","",$tofilter); 
$tofilter=str_replace("\\","",$tofilter); 
 
// PHP 
 
$tofilter= str_replace("function" , "" , $tofilter); 
$tofilter= str_replace("php" , "" , $tofilter); 
$tofilter= str_replace("echo" , "" , $tofilter); 
$tofilter= str_replace("print" , "" , $tofilter); 
$tofilter= str_replace("return" , "" , $tofilter); 
 
// HTML 
 
$tofilter= str_replace("html" , "" , $tofilter); 
$tofilter= str_replace("body" , "" , $tofilter); 
$tofilter= str_replace("head" , "" , $tofilter); 
 
// JS 
 
$tofilter= str_replace("script" , "" , $tofilter); 
 
// Ajax y Otros 
 
$tofilter= str_replace("xml" , "" , $tofilter); 
$tofilter= str_replace("version" , "" , $tofilter); 
$tofilter= str_replace("encoding" , "" , $tofilter); 
 
// CSS 
 
$tofilter= str_replace("css" , "" , $tofilter); 
 
 
  
 return $tofilter; 
 
} 
 
 
echo filter('<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">'); 
 
?>

Gracias desde ya.

ArkangelGammar · #2 (**permalink**) 06/01/2011, 13:46

le faltan muchas cosas. Es bastante vulnerable el codigo.

Te suguiero que busques la clase input.filter ya que un ataque facilmente te puede reemplazar el valor de la variable $tofilter, y tambpoco previene el ataque SQLInjection.

Yo particularmente customice esta clase:

http://www.phpclasses.org/package/2189-PHP-Filter-out-unwanted-PHP-Javascript-HTML-tags-.html

Pero ya de por si sola es bastante buena.

Podes aprender como funciona aca:

http://blog.unijimpe.net/prevenir-ataques-xss-con-php/

Espero haberte ayudado.

Saludos

Ribon · #3 (**permalink**) 06/01/2011, 14:02

no que es mejor usar strip_tags? o algo asi ? xD

ArkangelGammar · #4 (**permalink**) 07/01/2011, 14:27

No confio tanto en Strip_tags.

Yo prefiero la clase. Pero tambien es una opcion.

jossmorenn · #5 (**permalink**) 07/01/2011, 16:00

Código PHP:

  function limpiar_tags($tags){  
$tags = strip_tags($tags);  
$tags = stripslashes($tags);  
$tags = htmlentities($tags);  
return $tags;  
}  
  
limpiar_tags($variable);