Evitar sql injection y xss

[Claudio Salazar]

Cristian Rodriguez escribió:
> Claudio Salazar escribió:
>
>   
>> Lo importante para prevenir XSS es la validacion de los datos, 
>>     
>
> No, no su validacion si no que la forma en la cual son mostrados en
> pantalla.
>
>   
Lo decia una linea despues.
>> si bien se pueden crear
>> funciones con expresiones regulares para detectar patrones,
>>     
>
> No, solo preocupate de **mostrarlas** con las caracteres potencialmente
> dañinos.
>   
Feo output, de todas manera unas palabras mas adelante no les daba mi 
aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar 
XSS.
>
>   
>> Para prevenir XSS puedes ocupar funciones como htmlspecialchars(),
>> addslashes() que combinadas dan buenos resultados.
>>     
>
> que combinadas dejan la escoba ...
>   
Cierto, me quedo con htmlspecialchars.
>   
>> Por que no te funciona mysql_real_escape_string() ?
>> Solo sirve para "sanitizar" los datos que se ingresan en las consultas,
>> antes de aplicar mysql_query().
>> Mas info en
>> http://www.php.net/manual/es/function.mysql-real-escape-string.php .
>>     
>
>
> huh ? mysql_real_escape_string() no es para prevenir XSS..
>   
Hice un salto de linea para cambiar de tema, tambien mencionaba que no 
le funcionaba esa funcion y el asunto tambien trata sobre sql injection.
>   
>> Tambien podrias ver otras aplicaciones como ModSecurity o Core Grasp que
>> añaden seguridad a aplicaciones web.
>>     
>
> Peligrosa tu recomendacion.
>
>
>   
Ahora no basta con preocuparse solo de XSS e inyecciones SQL, funciones 
como mail() ya estan siendo foco de inyecciones y asi cada dia nuevas, y 
no discutiremos que es necesario que un programador debe partir por la 
seguridad de su codigo, pero una ayudita no le hace mal a nadie.