Comentarios en: Quiz sobre validación de datos en PHP

Por: diegocaro

diegocaro — Thu, 28 Jun 2007 04:20:54 +0000

Vale, vale... que ayer tenía un poco de sueño xD.

Gracias por el tiempo .

Saludos desde Chile.

Por: alex

alex — Wed, 27 Jun 2007 04:53:28 +0000

Ten en cuenta que $db->escape($tb_url) no sirve para evitar ataques XSS, sólo se usa para hacer consultas más seguras a la base de datos.

Por: diegocaro

diegocaro — Wed, 27 Jun 2007 04:43:59 +0000

Pero cuando haces $db->escape($tb_url), se deberían escapar los " , ', etc... que se introduzcan en la url, digamos, no podrías ver la url con el XSS incluido "correctamente".

Por: alex

alex — Wed, 27 Jun 2007 04:30:24 +0000

Ese código es vulnerable a dos problemas de XSS: la explicación para el primero puedes verlo en [1], el segundo problema es específico para Internet Explorer, tiene que ver con un bug en el manejo de codificaciones multibyte [2]

Saludos

[1] http://www.buayacorp.com/archivos/importancia-de-la-validacion-de-datos/
[2] http://forums.devnetwork.net/viewtopic.php?p=372842#372842

Por: diegocaro

diegocaro — Wed, 27 Jun 2007 04:10:11 +0000

Buenas, aún no capto el problema de seguridad. ¿Podrías dar alguna indicación para encontrar el error?

Saludos, y desde ya gracias!

Por: anabel

anabel — Tue, 24 Oct 2006 14:59:18 +0000

hola alguien me podria decir como le hago para que exporte variables de una pagina php a html mi situacion esta asi:
en una pag. php despliego un reporte de una base de datos oracle pero en el query no puedo hacer los ajustes que necesito asi que me piden que construya una pagina html y ahi haga manualmente los ajustes que necesito y no se como hacer
ojala me puedan ayudar