protegerse de html injection

Kase · 23 Abril 2011, 19:31 PM

no me abia percatado que una de mis paginas tenia html injection..
era un concepto que avia olvidado, y hoy lo recorde

y me ise un deface con un javascript redireccionando..

ahora la duda es como me protejo???

el problema es que hay ciertos texfields que necesito que reconoscan un poco de html
como los h1,2,3,4,5 center, strike, strong, y lo basico para dar formato x]

Darioxhcx · 23 Abril 2011, 21:10 PM

con htmlentities podes hacer que los comentarios se vean los etiquetas como <> pero en el codigo fuente salgan asi re locas como ;gt ;lt y asi tende
si no tmb tene otras funciones como html norecuerdoqmas xDDD

Kase · 24 Abril 2011, 00:10 AM

pero eso cambiaria todo mi texto, y necesito dar la oportunidad de que pongan html...

no se que cosas peligrosas se puede hacer con html, pero con javascript un redireccionador ya te fastidia mucho =/

no puede hacerse un,
desactiva javascript apartir de aki
activa javascript apartit de aki?

WHK · 24 Abril 2011, 01:07 AM

cómo está hecho ese código??, de todas formas es muy dificil permitir html sin que te hackeen, para eso existe el bbcode, acs, phpids, etc.

http://es.wikipedia.org/wiki/BBCode
http://secinn.appspot.com/pstzine/read?issue=4&articleid=8
http://phpids.org/
http://htmlpurifier.org/

Te recomiendo el bbcode y todo lo proceses en htmlspecialchars con ENT_QUOTES.

dale un vistazo al código fuente al foro de simplemachines y verás como implementarlo.

Test Foro de elhacker.net SMF 2.1

protegerse de html injection

Kase

Darioxhcx

Kase

WHK