Evitar sql injection y xss
Cristian Rodriguez
crrodriguez en suse.de
Jue Sep 20 21:32:40 CLT 2007
Claudio Salazar escribió:
> Lo importante para prevenir XSS es la validacion de los datos,
No, no su validacion si no que la forma en la cual son mostrados en
pantalla.
>si bien se pueden crear
> funciones con expresiones regulares para detectar patrones,
No, solo preocupate de **mostrarlas** con las caracteres potencialmente
dañinos.
> Para prevenir XSS puedes ocupar funciones como htmlspecialchars(),
> addslashes() que combinadas dan buenos resultados.
que combinadas dejan la escoba ...
> Por que no te funciona mysql_real_escape_string() ?
> Solo sirve para "sanitizar" los datos que se ingresan en las consultas,
> antes de aplicar mysql_query().
> Mas info en
> http://www.php.net/manual/es/function.mysql-real-escape-string.php .
huh ? mysql_real_escape_string() no es para prevenir XSS..
>
> Tambien podrias ver otras aplicaciones como ModSecurity o Core Grasp que
> añaden seguridad a aplicaciones web.
Peligrosa tu recomendacion.
--
"You don't have to burn books to destroy a culture. Just get people to
stop reading them." --Ray Bradbury
Cristian Rodríguez R.
SUSE LINUX Products GmbH
Research & Development
Más información sobre la lista de distribución Linux