XSS - Solución al HTML injection

XSS - Solución al HTML injection

Son muchos los sitios que visito a diario y que tienen vulnerabilidades de este tipo, sabes que es bastante peligrosa?

http://es.wikipedia.org/wiki/Cross-site_scripting

Aca, te dejo 2 soluciones faciles de implementar, para evitar esto.

strip_tags() = Elimina las etiquetas

ejemplo:

<h1>HOLA</h1> Nos daria: HOLA (simplemente)

Ejemplo que encontre:

<?php

$inj = $_GET['inj'];

if(isset($inj))

{

echo strip_tags($inj);

}else{

echo '<a href="http://127.0.0.1/htmli.php?inj=">Inyectar!</a>';

}

?>

Otra alternativa

htmlentities() = Obtiene las etiquetas de la inyeccion pero no las ejecuta

ejemplo:

<h1>HOLA</h1> Nos daria: <h1>HOLA</h1> (pero no ejecutaria el codigo)

Language: PHP<html>

<head>

<title> PRUEBA </title>

<body bgcolor="black" text="green" link="white">

<?php

$inj = $_GET['inj'];

if(isset($inj))

{

echo htmlentities($inj)

}else{

echo '<a href="http://127.0.0.1/htmli.php?inj=">Inyectar!</a>';

}

?>

</body>

</html>

Saludos amigos, hasta pronto!

Informaticus

Informaticus

Medicus, abierto el listado de directorios avisados!