Lo que puedes hacer es crear una especie de BBCODE al principio, osea recibes el texto, remplazas los tags como <b><h1>, etc... Por BBCODE y luego lo pasas por htmlentities y por ultimo reemplaza los BBCODE por etiquetas HTML validas xD.

Seria algo así

1º - Recibo el texto
2º - Reemplazo las etiquetas <b><h1>, etc... Por BBCODE.
3º - Le aplico un htmlentities() a todo el TEXTO.
4º - Reemplazo el BBCODE por sus etiquetas equivalente en HTML.
5º - Imprimo el texto.

Saludos.

Ps en lo personal una pestaña, al abrir una ventana uno tiene la sensación que la ventana que se abrió es de SPAM...

Saludos.

Con PHP no puedes abrir ningun tipo de ventana, recuerda que PHP se ejecuta en el servidor por lo tanto no puedes interactuar con el navegador (cliente) mediante PHP.

Para abrir pestaña/ventanas puedes usar javascript.
Saludos.

LOL, con die finalizas un script y envías un mensaje. El mensaje que estas enviando no es un mensaje de ERROR es un mensaje que haz puesto por si la consulta falla.

Saludos.

Usa mysql_error() por si el error esta en la consulta SQL, saber la razón porque se esta produciendo el error.

Ayudarías mucho mas, si en este mismo hilo, agregaras el error para evitar tener que probar el source...

Saludos.

Pd: Este hilo debería ir en la sección PHP

A lo mejor igual tenia razón en lo que decía, pero la forma en que te lo dijo pues te ha ofendido. Igual pudo haberse equivocado pero no le preste atención a ese tipo de cosas, pásala bien compañero.

Deja la palabra y el titulo de hacker a un lado y preocúpate por lo mas importante que es aprender, seguir avanzando y lo demás no es esencial por lo tanto no le preste atención. Por esa misma razón yo he evitado socializar mucho con los "hackers", trollear y todo eso. Como mucho me conecto al IRC por si alguien me necesita nomas, y le dedico mi otro tiempo a aprender, a avanzar en proyectos y eso. Para molestar y pasarla bien tengo una vida jejeje, así que no le des mucha mente si te molestan por un foro xD.

Saludos.

Bueno aqui el source con algunas modificaciones para evitar algunos errores...

<body>
<h1>Modelo de Incertidumbre</h1>
<form action="index.php" method="POST">
Filas	<input type="text" name="filas" size="3" maxlength="20" /><br />
Columnas<input type="text" name="colum" size="3" maxlength="20" /><br />
<input type="submit" value="Enviar" />
</form>
<table style="border-style: solid;"> 
<?php 
 
//Verifico que se hayan enviado los datos via POST
//Para evitar que todo el codigo corra sin datos que provocarian error...
if(!empty($_POST['filas']) && !empty($_POST['colum'])) {
 
$filas = $_REQUEST['filas'];
$colum = $_REQUEST['colum'];
for($i = 0; $i< $filas; $i++){ 
  echo " 
<tr> 
"; 
    for($j=0; $j < $colum; $j++){ 
      echo " 
<td style=\"border-style: solid;\"> $i x $j</td> 
"; 
    } 
  echo " 
</tr> 
"; 
 }
 
} 
?> 
</table>
</body>

Saludos.

Bueno al parecer todo siguen pensando igual xD, supongo que es una cultura ya xD.
Casi todos los mejores vectores de ataques a CMS o sitios, incluyen combinaciones de vectores nomas.

Igual de que te sirve usar un XSS permanente para modificar visualmente el HTML/CSS de un sitio y encima que solo funcionara en una parte especifica. Si eso caracterizara a XSS, entonce no estaría ni en el TOP10.

Muchas veces cuando alguien encuentra un CSRF suelen ser mucho mas creativos, investigan mas el funcionamiento del sistema para hacer el máximo daño posible y esto pasa simplemente porque esto limita a las personas. Pero cuando encuentran XSS se limitan a pensar que si no es permanente entonce no pueden hacer un defacer y por lo tanto no sirve de nada, pero lo peor es que mediante XSS puedes realizar CSRF cosa que se sabe pero bueno xD. Incluso peor ya que el XSS sea permanente o reflejado no les dan importancia. Estoy 100% seguro que usualmente cuando alguien encuentra un CSRF escala mucho mas en el sistema que cuando encuentra un XSS, pero claro eso no aplica a todas las personas.

Saludos.

Ps míralo de esta forma, que el administrador tenga acceso para poder cambiar el contenido de su pagina web mediante la administración. Con este XSS puedes hacer el cambio directamente a su pagina web sin que se de cuenta... Esta vez no estaría modificado el contenido visualmente sino que estaría modificando el contenido realmente.

Igual con que afecte al administrador basta, dependiendo como funcione el sitio, serias capaz de cambiarle su pass, subir shell, etc...

Saludos.

@adastra  estas muuuuuy equivocado.

Espero que llegue el día en que los usuarios se den cuenta que un XSS no es robar cookies, cambiar el HTML de una web o redireccionar a otra pagina.

Dejar de pensar en XSS como algo mágico, cuando encuentras XSS, puedes inyectar código javascript. Con javascript puedes actuar directamente en la pagina, hacer lo que quieras dentro de la pagina, puedes hacer de TODO.

vbseo from xss to reverse php shell/



Saludos.