elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  [Pregunta]: ¿htmlspecialchars es más conveniente acá?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Pregunta]: ¿htmlspecialchars es más conveniente acá?  (Leído 2,654 veces)
Leguim


Desconectado Desconectado

Mensajes: 720



Ver Perfil
[Pregunta]: ¿htmlspecialchars es más conveniente acá?
« en: 12 Julio 2021, 17:23 pm »

Digamos las técnicas de limpieza que son usadas para evitar ataques XSS, ¿sería conveniente usarlas tanto cuando se obtienen los datos de un formulario y hay que guardarlos en la base de datos como también cuando esos datos que están en la base de datos son solicitados y mostrados (echo)?



En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: [Pregunta]: ¿htmlspecialchars es más conveniente acá?
« Respuesta #1 en: 12 Julio 2021, 17:34 pm »

El concenso general es que el escape se debe hacer si o si justo cuando se va a imprimir.. porque de lo contrario, te estas fiando de que el dato almacenado en la base de datos esta limpio. Si en algun momento conectas una API a la BD por otra via o haces un endpoint y te olvidas de limpiarlo, estas jodido.

Además, se prefiere almacenar un dato raw porque el escape o la limpieza puede romper el dato original. Eso si, eso no quiere decir que tengas que almacenar todo tal y como te viene. Un nombre de usuario o un correo electronico deben ser filtrados/escpados/limpiados antes de almacenarse... y si o si, deben ser escapados antes de mostrarse, pero imaginate que tienes una sección donde el usuario escribe articulos y los escapas "prematuramente", en el futuro, todos esos specialchars te pueden traer problemas para portarlos a otro formato que no sea html.

En fin,

Escapar/Limpiar antes de imprimir: Siempre.
Limpiar antes de guardar: Cuando haga falta.

Saludos


« Última modificación: 12 Julio 2021, 17:38 pm por #!drvy » En línea

Leguim


Desconectado Desconectado

Mensajes: 720



Ver Perfil
Re: [Pregunta]: ¿htmlspecialchars es más conveniente acá?
« Respuesta #2 en: 12 Julio 2021, 20:55 pm »

solamente cuando expulso en el html?
es decir, digamos que tengo una función X de javascript que recibirá como parametro una variable PHP, ahí también debo limpiarlo?
En línea

3n31ch


Desconectado Desconectado

Mensajes: 445


Grandes conocimientos engendran grandes dudas


Ver Perfil
Re: [Pregunta]: ¿htmlspecialchars es más conveniente acá?
« Respuesta #3 en: 12 Julio 2021, 23:07 pm »

Lo que dice #!drvy es totalmente correcto. En respuesta a tu última pregunta (y parafraseando a #!drvy) si, debes limpiarlo siempre de salida.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
es conveniente esta funcion?
Programación Visual Basic
elmaro 2 2,032 Último mensaje 15 Agosto 2006, 22:46 pm
por andoba
Parser htmlspecialchars()
PHP
дٳŦ٭ 7 3,383 Último mensaje 22 Junio 2009, 04:00 am
por дٳŦ٭
No encuentro una distribución conveniente.
GNU/Linux
gigante126 2 2,055 Último mensaje 12 Noviembre 2012, 12:13 pm
por adgellida
¿es conveniente hacer un troyano con asm y c++?
Análisis y Diseño de Malware
evil_header 5 3,911 Último mensaje 19 Mayo 2014, 16:17 pm
por mr.blood
Conveniente e incovenientes de las redes VPN
Redes
3THIC4L 0 1,716 Último mensaje 24 Noviembre 2015, 22:32 pm
por 3THIC4L
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines