Filtro de datos

Volviendo a los quiz:

php:
<?php

function clean_url( $url ) {
        if ('' == $url) return $url;
        $url = preg_replace('|[^a-z0-9-~+_.?#=!&;,/:%]|i', '', $url);
        $strip = array('%0d', '%0a');
        $url = str_replace($strip, '', $url);
        $url = str_replace(';//', '://', $url);
        $url = (!strstr($url, '://')) ? 'http://'.$url : $url;
        $url = preg_replace('/&([^#])(?![a-z]{2,8};)/', '&1', $url);
        return $url;
}

$u = clean_url($_GET['u']);
echo '<a href="' . $u . '">' . $u . '</a>';

?>

¿Qué valor o valores debe tener la variable u para que el código mostrado sea vulnerable a XSS?

4 Replies to “Filtro de datos”

  1. Felicitaciones, muy interesantes tus articulos de seguridad, mas que estoy desarrollando un sistema de ventas(intranet) donde no toco un àpice de este aspecto

  2. como puede validar mis list box ya que solo quiero que me tomen algunos valores en especifico y que los demas me los descarte?

Comments are closed.