Evitar sql injection y xss

[Alvaro Herrera]

Claudio Salazar escribió:
> Cristian Rodriguez escribió:

>> No, solo preocupate de **mostrarlas** con las caracteres potencialmente
>> dañinos.
>
> Feo output, de todas manera unas palabras mas adelante no les daba mi 
> aprobacion. Lo mencione porque he visto que tambien tratan asi de evitar 
> XSS.

Cristian tiene razon.  Para evitar el XSS, lo que hay que hacer es
evitar que el navegador interprete el tag como si fuera HTML.  Para
esto, lo mas facil es escapar los caracteres peligrosos (creo que con
escapar el < deberia ser suficiente pero no estoy seguro).  Asi,
cualquier HTML que el atacante quiera hacer pasar por tu sitio, se veria
como un pedazo de texto en el navegador del usuario, con lo cual el
ataque deja de funcionar (por ej. si es un link, ya no es cliqueable).

-- 
Alvaro Herrera                        http://www.advogato.org/person/alvherre
"El número de instalaciones de UNIX se ha elevado a 10,
y se espera que este número aumente" (UPM, 1972)