Duda en convinacion de metodos de seguridad

Skeletron · 19 Diciembre 2009, 22:22 PM

Hola gente..
Para evitar un XSS permanente en mi web, imprimo lo siguiente:

echo "<input name='idd' type='hidden' value='".(int)htmlspecialchars($row['id'])."' />";

Como veran, digo que será un INT el dato, y tambien le digo que aplique el htmlspecialchars..
Capaz que esté al pedo el htmlspecialchars en ese caso.. o no?? total imprimira el valor solamente si es un numero.. o me equivoco?

braulio-- · 19 Diciembre 2009, 22:26 PM

Me parece (95 % seguro) que lo que hará será mostrar la parte numérica, ejemplo :
(int)56fod = 56
Si no hay parte numérica devuelve 0.

Skeletron · 19 Diciembre 2009, 22:33 PM

Claro..
Entonces me das la razon o no?

O sea... ese dato que ingresa, es un ID.. y ese ID es un numero.. y tiene que ser solamente un numero..
De esa forma evito cualquier tipo de XSS..mporque va a imprimir solamente numeros

braulio-- · 19 Diciembre 2009, 22:35 PM

Cita de: Skeletron en 19 Diciembre 2009, 22:33 PM
Claro..
Entonces me das la razon o no?

O sea... ese dato que ingresa, es un ID.. y ese ID es un numero.. y tiene que ser solamente un numero..
De esa forma evito cualquier tipo de XSS..mporque va a imprimir solamente numeros

Si.

Test Foro de elhacker.net SMF 2.1

Duda en convinacion de metodos de seguridad

Skeletron

braulio--

Skeletron

braulio--