Buenas,
A la hora de validar los datos de un formulario hace falta validar un textarea por tema de seguridad?? o se permite cualquier tipo de caracter¿??
Un saludo
13/02/2013, 16:57
| ||||
| ||||
| Respuesta: validar textarea Cita: si es textarea, es porque es una opinion por lo general, pero si se pueden validar carácteres o cambiarlos, por ejemplo si dicen hijo de p... lo puedes coger y cambiarlo por hijo de p #$%!
Iniciado por Blashak  Buenas, A la hora de validar los datos de un formulario hace falta validar un textarea por tema de seguridad?? o se permite cualquier tipo de caracter¿?? Un saludo |
|
13/02/2013, 17:03
| ||||
| ||||
| Respuesta: validar textarea No confundas el input que pintas en HTML, con el valor $_POST que recibes.Tú no "validas un textarea".Validas una variable POST. Que tú piensas que esa variable POST procede de lo que haya escrito alguien en un textarea? Pues ya tienes un primer problema de seguridad. |
|
13/02/2013, 17:13
| |||
| |||
| Respuesta: validar textarea Agrego algo dicho a lo de dashtrash, lo que debas validar depende de que son los datos y donde van los datos. No se trata igual un texto plano, que un HTML, etc. |
|
13/02/2013, 17:20
| |||
| |||
| Respuesta: validar textarea Cita: Es un textarea en el que pueden insertar texto sobre la descripcion personal. Entiendo que la validación que se tiene que hacer no son los caracteres sino que sea realmente un textarea lo que están enviando??
Iniciado por areslepra Agrego algo dicho a lo de dashtrash, lo que debas validar depende de que son los datos y donde van los datos. No se trata igual un texto plano, que un HTML, etc. |
|
13/02/2013, 17:26
| ||||
| ||||
| Respuesta: validar textarea Tú no validas inputs HTML.Tú validas datos.Cuando pienses en validación de datos, olvídate de los inputs HTML de donde salen.Tienes que validar que lo que te llega es un valor correcto para el dato que espera tu script. |
|
13/02/2013, 17:32
| |||
| |||
| Respuesta: validar textarea Cita: Me podrías poner un ejemplo de como validarías este tipo de datos, gracias.
Iniciado por dashtrash Tú no validas inputs HTML.Tú validas datos.Cuando pienses en validación de datos, olvídate de los inputs HTML de donde salen.Tienes que validar que lo que te llega es un valor correcto para el dato que espera tu script. |
|
13/02/2013, 17:41
| ||||
| ||||
| Respuesta: validar textarea Pues comprobando que se cumplen caracteristicas de un dato correcto: tamaño minimo, máximo, trim de espacios, si se permite html o no, detector de XSS para log, y algunas precauciones para mysql. |
|
13/02/2013, 17:49
| |||
| |||
| Respuesta: validar textarea Cita: creo que validando un minimo, maximo y mysqli::real_escape_string basta, ya que el resto: xss, html.. no pasa nada si se guarda en la bd porque utlizo la funcion htmlentities en los echos. Es correcto??
Iniciado por dashtrash Pues comprobando que se cumplen caracteristicas de un dato correcto: tamaño minimo, máximo, trim de espacios, si se permite html o no, detector de XSS para log, y algunas precauciones para mysql. |
|
13/02/2013, 17:56
| ||||
| ||||
| Respuesta: validar textarea Si yo defino que un dato no permite html, el dato no debe tener html.Es una propiedad del dato, y, en caso de tener html, al usuario hay que advertirle de que el campo es incorrecto, y debe modificarlo. Como indico, el detector de XSS es para *log*. Sobre que no pasa "nada", ya que utilizas htmlentities en los echos, depende de dónde hagas el echo. |
|
13/02/2013, 18:05
| |||
| |||
| Respuesta: validar textarea Cita: Como que depende de donde haga el echo?? todo contenido que se muestre en la web utilizando la funcion htmlentities no tiene que preocuparte por nada mas. Si no es así podes explicar.
Iniciado por dashtrash Sobre que no pasa "nada", ya que utilizas htmlentities en los echos, depende de dónde hagas el echo. |
| Etiquetas: |
