Restringir html y javascript en php

erxaca · #1 (**permalink**) 11/02/2010, 13:21

Hola amigos tengo un gran problema, tengo un formulario en mi web donde los usuarios pueden enviarme comentarios, estos se almacenan en una base de datos, no lo tengo configurado para que no puedan introducir html ni javascript y ya es la segunda vez que me lo han introducido, con el fin claramente de comprobar dicha vulnerabilidad, pues la otra vez al poco de escribirme un mensaje con urls me borraron la bd, que codigo he de implementar en el php para denegar que introduzcan html ni javascript?
Gracias de antemano

JessicaTJ · #2 (**permalink**) 11/02/2010, 13:28

Puedes usar una funcion para hacer seguro lo ke introducen, por ejemplo:

Código PHP:

  function make_safe($variable) { 
    $variable = htmlentities($variable, ENT_QUOTES); 
      if (get_magic_quotes_gpc()) {  
       $variable = stripslashes($variable);  
    } 
      $variable = mysql_real_escape_string(trim($variable)); 
     $variable = strip_tags($variable); 
    $variable = str_replace("", "", $variable); 
     return $variable; 
}

Y al meter las variables, las llamas asi:

Código PHP:

  make_safe($_POST['variable']);

erxaca · #3 (**permalink**) 11/02/2010, 13:38

Muchas gracias por tu respuesta JessicaTJ, una cosa, en esta line

Código PHP:

  $variable = str_replace("", "", $variable);

entre las comillas he de introducir las etiquetas html y javascript a sustituir? el primer parametro sera sustituido por el segundo?

JessicaTJ · #4 (**permalink**) 11/02/2010, 13:51

En esa linea es lo ke te va a reemplazar, pero esta mejor este:

Código PHP:

  function make_safe($variable) {
    $variable = mysql_real_escape_string(addslashes($variable));
    return $variable;
}

Esta mas cortito, efectivo y bonito XD

Hidek1 · #5 (**permalink**) 11/02/2010, 13:58

en realidad basta con htmlentities() y te evitas injection html ^^

JessicaTJ · #6 (**permalink**) 11/02/2010, 14:00

Cita:

Iniciado por Hidek1

en realidad basta con htmlentities() y te evitas injection html ^^

Tambien, pero me gusta hacerlo mas "dramatico" todo XD

erxaca · #7 (**permalink**) 11/02/2010, 14:16

Podriais ponerme un simple ejemplo por favor?

Nose donde poner el codigo a sustituir

JessicaTJ · #8 (**permalink**) 11/02/2010, 14:40

Cita:

Iniciado por erxaca

Podriais ponerme un simple ejemplo por favor?

Nose donde poner el codigo a sustituir

En el archivo donde llamas a las variables, en vez de llamarlas simplemente asi:

Código PHP:

  $_POST['variable'];

Llamalas asi:

Código PHP:

  make_safe($_POST['variable']);

Para que sean filtradas

erxaca · #9 (**permalink**) 11/02/2010, 14:48

he de añadir addslahes en el codigo o ya asi simplemente con make_safe elimina caracteres peligrosos?de ser asi cuales elimina?

Por cierto en mis codigo solo uso GET seria make_safe($_GET['variable']); entonces
Gracias ;)

JessicaTJ · #10 (**permalink**) 11/02/2010, 14:57

Te escapa comillas dobles y simples agregando / para que no sean peligrosos una vez insertados, es decir, "rompen" la esctructura de lo ke se inserto, usando mysql_real_escape_string y addslashes

erxaca · #11 (**permalink**) 11/02/2010, 15:03

jejeje XD Entonces uso make_safe o mysql_real_escape_string??

make_safe que remplaza el codigo sin implmentar ningun otro parametro, es decir añadiendo make_safe simplemente o he de añadir ademas addslashes?

JessicaTJ · #12 (**permalink**) 11/02/2010, 15:42

Cita:

Iniciado por erxaca

jejeje XD Entonces uso make_safe o mysql_real_escape_string??

make_safe que remplaza el codigo sin implmentar ningun otro parametro, es decir añadiendo make_safe simplemente o he de añadir ademas addslashes?

make_safe es una funcion creada por ti mismo, usando las funciones mysql_real_escape_string y addslashes propias de PHP, usalo asi:

Código PHP:

  function make_safe($variable) {
    $variable = mysql_real_escape_string(addslashes($variable));
    return $variable;
}

Lo colocas en un archivo de funciones o en el archivo donde vas a usar la funcion, casi en la parte de arriba donde comienzas el codigo, y las variables ke recoges las llamas asi:

Código PHP:

  make_safe($_POST['variable']);