Si yo pongo un sistema como fotolog y yo quiero que no haya HTML en ese comentario solo con

$texto = htmlentities($texto,ENT_QUOTES);    

estaria? o faltaria algo mas por seguridad?

Por que siempre hay alguno que te quiere inyectar html con < y eso?

Ustedes con

$texto = htmlentities($texto,ENT_QUOTES);   

esta bien ya?

Hola amigos de elhacker.net! Tengo 1 preguntita de seguridad que se me vinieron a la mente.


Estaba viendo el post de sobrepasar htmlentities, y me vino la duda de un par de cosas.

http://foro.elhacker.net/printpage.html;topic=251657.0



header('Content-Type: text/html; charset=UTF-7'); 
$texto = htmlentities($texto,ENT_QUOTES);     
$texto = "+ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4-";
echo $texto;


Si uno hace interpretar este script, devuelve un alert diciendo XSS.

Entonces pienso bueno en vez de UTF-7, pongo UTF-8 y listo. Solucionado!.

Pero agarre el programa Achilles ( Man in The middle) y lo que hize fue interceptar cuando estaba recibiendo el header que tenia el UTF-8 ( como content type) Se lo cambio a UTF-7, y ahi saltaba el XSS.

Ahora mi pregunta es como evito que me cambien la codificacion con un man in the iddle. Porque si ese mensaje se guarda en una base de datos despues cuando le de un echo a ese mensaje me va tirar el alert.

Hay alguna funcion en php que me diga la codificacion que se este usando en la web?
Cosa que si detecto que alguien modifico el UTF-7, le meto un die; ahi no mas.



Desde ya muchas gracias a todos .

Tienen alguna web donde encuentren las apis que utiliza las web CAM¿