Hubo un error de interpretación y estamos usando acá PHP 5.3 con MYSQL 5.

He usado este tipo de filtrado:

 filter_var($buscar, FILTER_SANITIZE_STRING,FILTER_SANITIZE_SPECIAL_CHARS);

 $tags = htmlentities($tags,ENT_QUOTES,"UTF-8");

Junto el mencionado que puse arriba y otro método que agregan strips.

Agregué un replace con algunos caracteres:
 
$tags = str_replace('=','',$tags);

El test me dice que no tengo vulnerabilidades pero se cae el test xD.

Hola , ¿Porque es inseguro utilizar expresiones regulares en javascript?.



 tags = strip_tags($tags);
 $tags = stripslashes($tags);
 $tags = htmlentities($tags,ENT_QUOTES);
 
Tenía algo así, sin el agregado que me acabas de decir "ENT_QUOTES". Tengo el campo limitado a unos 25 caracteres, y bueno le aplico lo que me dices a todas las entradas

Saludos y gracias!.

No tienen nada que ver, pero su lógica es la misma, pasar por parámetros las sentencias. Creo que la única diferencia y corrijánme si estoy mal, es que el PHP las prepara, a eso me refería... .

¿Algún consejo adicional?, he leído sobre htaccess, eso podría ayudarme un poco. Agradezco la ayuda.

Buenas, gracias por responder , estoy usando también la clase inputfilter.php, ¿Que tal es?, con respecto a lo que me dices lo he tratado de implementar pero no se como funciona bien, ¿cuáles son las cabeceras que debo poner o cómo?, lo he hecho con C# y Vb.NET pero no entiendo como se implementa. Te agradecería mucho, y bueno alguna que otra recomendación, muchísimas gracias!.

Por cierto, mi web cuenta con expresiones regulares de javascript, ¿Qué tanto me protegen?.

Buenas, tengo una serie de dudas con respecto a protección de ataques de XSS, estoy tratando de proteger la web de la empresa en la que trabajo y me he dispuesto a utilizar una serie de pasos, con esto me han surgido dudas y bueno estas son:

1- ¿Qué tanto protegen las expresiones regulares de un ataque XSS?
2- ¿Que puedo usar aparte de las funciones de PHP como strip_tags , htmlentities, stripslashes.?


He puesto también escape_real_string para sanear las entradas, pero hago un test que viene en el mozilla firefox y tengo vubnerabilidas con ";" , "=" y " /".

No se si este es el foro adecuado, espero que lo sea, cabe destacar que estoy utilizando PHP 4 con MYSQL.

Señalo también que con respecto a ataques de inyección no estamos tan mal, me gustaría que me ayudasen; soy nuevo en esto un poco y no se de seguridad. Destaco que no usamos sesiones ni cookies, por tanto no tenemos agujeros ahí, los datos son capturados por medio del POST.

Gracias.

Tienes razón, quizás haré pregunta más general.

Uno que me respondieron, fue que no podían responderme. Y los otros post que he visto los responden de inmediato, que conste que no estoy diciendo que tienen que responderlos o que lo hagan rápido. Me resulta molesto ver simplemente como 300 visitas y no ver nada. Gracias.

Nota y agradezco que por PRIMERA VES, me hayan dicho que fue lo que hice mal para que no me respondieran.

PD: No necesito comentarios sarcásticos, con educación es suficiente, igual agradezco el milagro de respuesta
.

Se supone que aquí si puedo postearlo?. Pues nunca me contestan, es mi queja. No planteo preguntas estúpidas, ni pongo a hacer tareas a nadie, parece que muchos o algunos se las tiran de muy listos. Listo, dije lo que me molesta, gracias..

Y no va a todos, igual al que le cae, le cae.

Eso depende de ti y de tu capacidad de ser disciplinado.

Saludos.