|
Título: protegerse de html injection Publicado por: Kase en 23 Abril 2011, 19:31 pm no me abia percatado que una de mis paginas tenia html injection..
era un concepto que avia olvidado, y hoy lo recorde y me ise un deface con un javascript redireccionando.. ahora la duda es como me protejo??? el problema es que hay ciertos texfields que necesito que reconoscan un poco de html como los h1,2,3,4,5 center, strike, strong, y lo basico para dar formato x] Título: Re: protegerse de html injection Publicado por: Darioxhcx en 23 Abril 2011, 21:10 pm con htmlentities podes hacer que los comentarios se vean los etiquetas como <> pero en el codigo fuente salgan asi re locas como ;gt ;lt y asi tende
si no tmb tene otras funciones como html norecuerdoqmas xDDD Título: Re: protegerse de html injection Publicado por: Kase en 24 Abril 2011, 00:10 am pero eso cambiaria todo mi texto, y necesito dar la oportunidad de que pongan html...
no se que cosas peligrosas se puede hacer con html, pero con javascript un redireccionador ya te fastidia mucho =/ no puede hacerse un, desactiva javascript apartir de aki activa javascript apartit de aki? :silbar: Título: Re: protegerse de html injection Publicado por: WHK en 24 Abril 2011, 01:07 am cómo está hecho ese código??, de todas formas es muy dificil permitir html sin que te hackeen, para eso existe el bbcode, acs, phpids, etc.
http://es.wikipedia.org/wiki/BBCode http://secinn.appspot.com/pstzine/read?issue=4&articleid=8 http://phpids.org/ http://htmlpurifier.org/ Te recomiendo el bbcode y todo lo proceses en htmlspecialchars con ENT_QUOTES. dale un vistazo al código fuente al foro de simplemachines y verás como implementarlo. |