elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Ejemplo practico de ob_start()
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ejemplo practico de ob_start()  (Leído 11,462 veces)
Skeletron


Desconectado Desconectado

Mensajes: 1.731


A long way to go


Ver Perfil WWW
Ejemplo practico de ob_start()
« en: 3 Marzo 2010, 20:06 pm »

Recien observaba aqui: :http://www.php-es.com/function.ob-start.html

Y digamos que es la primera vez que escucho hablar de esa funcion.

Podria usar esa funcion para evitar XSS?
Digamos que, al terminar el codigo de la web, llamo al end ob, y que la funcion haga un ECHO htmlentities($bufer); así se evita XSS de cualquier tipo...

Espero su recomendacion :)


En línea

raul338


Desconectado Desconectado

Mensajes: 2.633


La sonrisa es la mejor forma de afrontar las cosas


Ver Perfil WWW
Re: Ejemplo practico de ob_start()
« Respuesta #1 en: 4 Marzo 2010, 01:16 am »

No entiendo que tiene que ver esa funcion con XSS, o sea, no vas a poner un XSS directo en tu pagina, ya que eso lo que hace es imprimir en la salida, por lo que no convendria analizar los datos ahi


En línea

Skeletron


Desconectado Desconectado

Mensajes: 1.731


A long way to go


Ver Perfil WWW
Re: Ejemplo practico de ob_start()
« Respuesta #2 en: 4 Marzo 2010, 04:07 am »

:O
Pero tio... eso reemplaza los caracteres que pueden llegar a dar un ataque XSS...

Si a todo el texto de salida le aplico el htmlentities(), se reemplanzan esos caracteres (los que harían el XSS)...
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Ejemplo practico de ob_start()
« Respuesta #3 en: 4 Marzo 2010, 04:21 am »

no, no es práctico para evitar xss porque es lo mismo a tener una variable get o post con el buffer del contenido y si vas a filtrar toda la web completa mejor usa sistemas como phpids que usa reglas en expresiones regulares.

ob_start() sirve para iniciar la obtenciónd el buffer y te lo debuelve si se lo pides con ob_ get_ contents.

Generalmente se usa para manipular todo un contenido como si estubieras imprimiendo el contenido pero realmente se va a un buffer.

de hecho php lo hace por defeto solo que cuando lo redeclaras se crea un nuevo objeto y se trabaja con el.

Te puede servir como para cosas como esta:
http://foro.elhacker.net/nivel_web/pcu_como_modificar_el_footer_de_smf_incluyendo_el_copyright-t285208.0.html
En línea

Baaaw Oic

Desconectado Desconectado

Mensajes: 79


Ver Perfil
Re: Ejemplo practico de ob_start()
« Respuesta #4 en: 4 Marzo 2010, 04:33 am »

Yo solo lo uso cuando uso el header() xD
En línea

Skeletron


Desconectado Desconectado

Mensajes: 1.731


A long way to go


Ver Perfil WWW
Re: Ejemplo practico de ob_start()
« Respuesta #5 en: 4 Marzo 2010, 10:47 am »

WHK, si hago un:
echo htmlentities(ob_ get_ contents);

??? No funcionaría?
O me imprimiría la web 2 veces?
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con caso práctico
Redes
nemorales 0 4,055 Último mensaje 3 Diciembre 2010, 00:25 am
por nemorales
Múltiples vulnerabilidades en programas SCADA (con ejemplo práctico)
Noticias
wolfbcn 0 2,301 Último mensaje 20 Septiembre 2011, 13:31 pm
por wolfbcn
[MANUAL] Ejemplo practico para comenzar con MVC en PHP resumen todo lo del foro
PHP
Graphixx 0 22,701 Último mensaje 14 Marzo 2013, 21:49 pm
por Graphixx
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines