Seguridad formularios

diariohacker · #1 (**permalink**) 18/03/2007, 17:10

Hola,

estoy implementando una web y me sucede lo siguiente:
En la web se pueden dejar mensajes que guardo en una base de datos, el problema viene que al recuperar ese mensaje php lo plasma tal y como se introdujo, por lo que si pones etiquetas html o script o lo que sea el navegador lo toma como código html, script.... es decir, muy peligroso.

¿alguien sabe alguna función que cambie un texto íntegro de forma que se imprima en html tal y como se introdujo y el navegador no pueda interpretarlo?

Gracias!

Fridureiks · #2 (**permalink**) 18/03/2007, 17:32

Con ese nick y esta pregunta... jeje

Esta es la funcion que estas buscando: htmlentities

Saludos

Pagonu50 · #3 (**permalink**) 18/03/2007, 21:14

Mirate esta función:

Cita:

strip_tags

(PHP 3 >= 3.0.8, PHP 4, PHP 5)

strip_tags -- Elimina etiquetas HTML y PHP de una cadena

Descripción:

string strip_tags ( string cadena [, string etiquetas_permitidas] )
Esta función intenta eliminar todas las etiquetas HTML y PHP de la cadena dada.

Puede usar el parámetro opcional para especificar las etiquetas que no deben eliminarse.

Va bien si quieres que los usuarios tengan acceso a algun código en concreto.

Saludos

diariohacker · #4 (**permalink**) 19/03/2007, 09:09

Cita:

Iniciado por Fridureiks

Con ese nick y esta pregunta... jeje

Uno no nace sabiendo a programar ;)

Muchas Gracias por las respuestas!!

Fridureiks · #5 (**permalink**) 19/03/2007, 09:13

Si te molesto te pido disculpas.
Y en tal caso no se trata de programar, sino de buscar :P

Saludos

diariohacker · #6 (**permalink**) 19/03/2007, 10:34

Fridureiks no me molestó tranquilo ;)

Sí, yo había encontrado htmlentities pero fíjate que preguntando tambien he conocido la función strip_tags.

En estos temas hay que tener cuidado y cuantas más opiniones tengas mejor.