Comunidad de diseño web y desarrollo en internet online

Quitar codigo mal intencionado o peligroso

Citar            
MensajeEscrito el 19 May 2009 10:52 pm
Que tal estoy atrapado con algo que no me enseñaron en la escuela y por eso nuevamente recurro a la comunidad cristalab, supongo que es un problema con el que muchos se habrán topado.

Resulta que existe un sitio en internet donde el usuario Rellena un campo y ese campo se almacena en una base de datos algo como lo que ocurre en cada post de los foros de cristalab, entonces para ello utlizo un textarea, que depues aplico una interfaz WYSIWYG libre que me encontre por ahi en internet, lo que quiero evitar aqui es que el usuario malintencionado ponga etiquetas como <fom>, <script> u otras, Hay alguna manera de omitir este tipo de cosas a la hora de guardar el registro en la BD?

Sé que existe una instruccion en PHP que remueve las etiquetas de un campo strip_tags si no recuerdo mal, ¿cual es la mejor forma de evitar la insercion de código mal intensionado?

Por nodream

Claber

99 de clabLevel



 

opera
Citar            
MensajeEscrito el 19 May 2009 11:16 pm
con esa funcion te iria bien pero tambien puedes utilizar mysql_real_escape creo q se llama asi o algo parecido ademas si tambien usas ajax podrias usar escape antes de mandar los datos a la base de datos saludos

Por talcual

686 de clabLevel



 

Colombia

firefox
Citar            
MensajeEscrito el 20 May 2009 04:56 am
Adicionalmente puedes usar:

strip_tags()
stripslashes()

y hacer castings al generar las sentencias sql:

Código :

$sql = "...WHERE `id` = " . (int) $id;


Libro recomendable:
php|architect’s Guide to PHP Security

Por shakka

Claber

189 de clabLevel

2 tutoriales

Genero:Masculino  

mozilla
Citar            
MensajeEscrito el 20 May 2009 03:46 pm
y hacer castings al generar las sentencias sql:


¿que es un casting? ¿Es lo mismo que un fitro, es decir usar WHERE en la sentencia?

Gracias por la recomendación del libro, trataré de conseguirlo

Por nodream

Claber

99 de clabLevel



 

opera
Citar            
MensajeEscrito el 20 May 2009 07:12 pm
El cast, siempre lo utilizo. Es genial.

Cast, es convertir una variable a un datatype(tipo de dato) específico.

Por ejemplo, una variable que esperamos siempre sea númerica, podemos convertirla a integer, de esta forma:

Código PHP :

$algo = "adasd";
echo (int) $algo;
$algo = "8";
echo (int) $algo;

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino   Bastard Operators From Hell Premio_Secretos

Lugar estratégico para vigilarte

firefox

 

Cristalab BabyBlue v4 + V4 © 2011 Cristalab
Powered by ClabEngines v4, HTML5, love and ponies.