Mensajes

Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y >

Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me

El diseño está pensado para celulares asi que no le pidan mas xD

Mira revisa la pagina otra vez, puse tu funcion como la pusiste al principio, luego quitando solo la ' y luego solo la "

Intenta poner: " onmouseover="alert(document.cookie);" x=" y luego pasa el raton por encima de los text en blanco

En teoria segun eso con bloquear la " es suficiente pero yo bloquearia ambas xD lo dicho, usa htmlspecialchars($var,ENT_QUOTES) 

Pues mmm, habría que pensar un poquito mas xD

xss-me u otra página? Sí es en esa no necesitas la primera comilla xD de echo basta con <h1>test

Está bajo control xD

Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y >

Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me

El diseño está pensado para celulares asi que no le pidan mas xD

htmlentities desarma los caracteres y se ve feo a mi gusto xD pero es cosa de gustos o depende de en que lo vayas a usar.

El xss permanente fue lo que mas me divirtio hace años cuando nacían los libros de visitas xD la gente decía... Hacker deja de molestar por favor, ja ja ja yo lo conocí como inyección html hasta que WHK me pregunto... "y sí inyecto javascript?" xD

De todas formas siempre que quieras proteger tu página debes conocer el ataque que quieres parar, por ejemplo, como pasarías un SQLi sin saber como ejecutar uno?

Para atacar hay que saber defender y viceversa

SQLi xD

Por sí acaso filtra la comilla simple también y los backslashes

Sí lo muestras derecho en la página nop, sí por ejemplo está en el value de un input o dentro de parámetros de alguna etiqueta html sip

Por ejemplo

replace_sh($var) no es vulnerable

<input type="text" value="'.replace_sh($var).'"> es vulnerable

Como me recomendaste esa vez mejor usar htmlspecialchars con ENT_QUOTES, aún asi sí quieres joder a los h4x0rs un rato podrías revisar la variable en busca de <, >, ' y " y lanzar un mensaje de "te estoy viendo eh!" ja ja ja

Hace un tiempo pregunté mas o menos lo mismo en el foro de whk y al parecer sería con javascript algo como

prueba.php?var=" onclick="alert(document.cookie)" algo mas no recuerdo xD

Pero se deben cumplir ciertos requisitos al mostrar la variable, también podría ser con onload, la verdad no entendí muy bien xD