Mensajes

Vale como nadie ha respondido, supongo que no fui claro.

Lo que quiero hacer especificamente es que se filtre todo lo que entre pero se permita en etiquetas <a> y <img> asi:

Código (html4strict) [Seleccionar] Expandir


<img src=""></img>
<a href=""> </a>

Solo esos argumentos/parametros de esas etiquetas quiero que se permitan, alguien sabe como hacerlo?
Zalu2

como te pasas !! eso es como insultar a una persona ,no toda la gente piensa en hacer mal . 

Con esto estas fomentando el lammering, si en realidad quicieras aprender (que es el objetivo de el foro) te hubieras leido un manual de batch y hubieras sabido como crearlos tu mismo
PD: No te estoy diciendo lammer, simplemente dije que es mala idea este post.
Zalu2

Seguro lo cambiaran pronto
Amargados
Zalu2

click derecho --> Ver codigo de fuente

Hola amigos, resulta que ando en practicas con PHP + MySQL (y un poco de todo) y desde hace tiempo que me ando haciendo un guestbook. Resulta que segun yo, ya lo tenia "seguro" (sabia que no mucho, pero por lo menos sec. basica si) y aun amigo, que ha estado mas adentrado en el mundo del XSS, me ha encontrado bugs muy facilmente, y la verdad que no se como fixearlos.

Este es mi code:

Código (php) [Seleccionar] Expandir

<?php
echo "<title> Guestbook FOR TEST</title>";
function filtro1($datos){
$datos = htmlentities($datos);
return $datos;
}
function filtrom($mensaje){
$mensaje = strip_tags($mensaje,"<u><a><i><img><b><s>");
return $mensaje;
}
require_once("conexion.php");
$con & $select;
$queryd = mysql_query("SELECT * FROM guestbook") or die (mysql_error()); 
if(mysql_num_rows($queryd) !=0){
while($data = mysql_fetch_array($queryd)){
echo '
<table border="0" cellpadding="3" cellspacing="3">
<td> Usuario: <b>'.filtro1($data['Nick']).'</b> &nbsp;&nbsp;&nbsp;
Correo: <b>'.filtro1($data['Email']).'</b> </td><br> 
<tr>
<td> <b>Comentario:</b> <br>'.filtrom($data['Comentario']).' </tr>
</table> <hr>
';
}
}else{
echo "No hay comentarios aun \n";
}
if(isset($_POST['send'])&&($_POST['nombre'])&&($_POST['email'])&&($_POST['comentario'])){
        $query = mysql_query("INSERT INTO guestbook(Nick,Email,Comentario)
   VALUES ('$_POST[nombre]','$_POST[email]','$_POST[comentario]')") or die (mysql_error());
header("Location: guestbook.php");
}

?>
<center>
<h2> Agregar un comentario: </h2>
<form action="" method="POST">
 Nombre : <input type="text" maxlength="30" name="nombre"> <br>
 Email : <input type="text" maxlength="40" name="email"> <br>
     Comentario : <br>
     <textarea rows="8" cols="120" maxlength="10000" name="comentario"></textarea>
     <br>
     <font size="2">
     Etiquetas permitidas : &lt;a&gt; &lt;img&gt; &lt;b&gt; &lt;i&gt; &lt;u&gt; &lt;s&gt;
     </font> <br> <b>Maximo 10000 caracteres</b> <br>
<input type="submit" name="send" value="Comentar!">
<input type="reset" value="Borrar!">
</form> </center>


Me ha sacado bugs, ya que al permitir la etiqueta <a> y <img> con un poco de javascript y CSS me ha logrado "XSSear" el guestbook.

Lo que quiero hacer basicamente, es seguir permitiendo ciertas etiquetas, pero poder filtrar todo tipo de ataque.

Alguna idea?
Zalu2

Mi Jdownloader se quedó en una descarga de unos 100 links más o menos... me quedaban 2 por descargar T.T

Eso si que jode xDDD

No recuperes la cuenta, simplemente aprende sobre este mundillo
Zalu2

No se entiende nada...

[no se venefician de ofrecer material "ilegal"]

neh... hay que ser bastante incredulos pensando que los dueños de seriesyonkis o taringan no se venefician de ofrecer material "ilegal" 
que no lo vendan directamente y acambio digan te lo ofrecemos gratis siempre y cuando veas todos estos enlaces patrocinados alrrededor del video es una forma de explotar contenido con "derechos de autor"

eso no es compartir, eso es lucrarse con el deseo de la gente de compartir.... si no lo ubieran echo un negocio... y ubieran sostenido la web solo recibiendo las donaciones justas

no los acusarian de labado de dinero que es el gancho con el que se los clavaron y no el mantener enlaces...

PD: una pena por que tambien son una fuente de informacion... pero tomaron la decicion ekibokada al lucrarse con algo ilegal. y taparlo bajo los agujeros de las legislaciones actuales... legalmente si no ubieran echo un negocio en este momento no podrian averlas "atado" a mu

PD: un ejemplo digno es wikipedia que se sostiene en donaciones y no piden mas de lo que necesitan. (auque tambien es un negocio... pero distinto)

Tienes razon, pero que casualidad que todo paso en mera "revolucion" contra la ley SOPA, mera casualidad que se le hayan sacado miles de pretextos para encerrarlos. Como si miles de paginas mas no hicieran lo mismo.

Por ende deberían vigilar google, también dá los enlaces a megaupload.

Por ende deberian vigilar cada una de las paginas (incluyendo elhacker.net, CPH, IH; CUH, etc) ya que millones de websites contienen enlaces a Megaupload, creo que es una idea bastante tonta la que lleva el FBI...
Zalu2