Tomate un minuto [Archivo] - HACK HiSPANO - Foros de seguridad informática y hacking.

Ver la versión completa : Tomate un minuto

stock

04-07-2004, 00:41

Hola a todos en el Foro.

Acabo de terminar un sistema de foros en mi web, aparentemente funciona todo bien, bueno, hasta las pruevas que e realizado, pero me gustaria que le dieras un vistazo y lo provaras, pues quiza encuentres algunos errores y agradeceria que me lo hicieras saber.

Tambien agradeceria cualquier comentario, sugerencia o critica, no soy un profecional ni un experto, asi que no esperes ver una fregoneria.

Thanks!!

esta es la direccion:
http://www.ciberstock.com

Markitos1024

14-07-2004, 17:00

tenes un error gravisimo
el los post etra el codigo html podes hacer script
jje eso es peligroso
mira aca:
http://69.10.155.62/~zs000214/mostrar.php?seccion=foro&op=msg&ficha=p8
primero escribi un texto en negrita y puse un comentario en html
despues ejecute un secript con un alert que dice hola
DANGER!! jjeej
suerte

stock

14-07-2004, 21:24

Si, ya sabia acerca de ese error, y creo que si es grave, e estado tratando de solucionarlo, y e pensado lo siguiente:

- primero Tomar el texto en la variable
- Despues ir revisando letra por letra por medio de un ciclo, ir casilla por casilla del arreglo.
- y si encuentro el simbolo mayor o menor que, entonces lo remplazo por < y >, de esta manera evitaria insertar codigo.

En fin si alguien tiene otra idea, por favor hagamela saber.

Thanks

stock

20-07-2004, 23:38

Esta es la funcion que e programado, para evitar inserccion de etiquetas html o javaScript, si alguien le ve algun error, pues digamelo, lo e provado, y no le veo fallas, pero siempre es bueno que otras personas opinen.

function valida_text($text){
$i=0;
$textout="";
while($text[$i]){
switch($text[$i]){
case "<" : $textout.="<";
break;
case ">" : $textout.=">";
break;
default : $textout.=$text[$i];
break;
}
$i++;
}
return $textout;
}

stock

07-08-2004, 23:41

Hey, andando investigando, PHP tiene funciones que hacen lo mismo que la funcion que programe arriba, y edemas algunas cosas extras, ahora e echo una funcion mejor y menos codigo :)

function formato($texto){
$ok=htmlspecialchars($texto); //Convierete los caracteres especiales
return nl2br($ok); //nl2br nos debuelve los saltos de linia
}

stock

08-09-2004, 17:53

Una mejora para la funcion pasada, ahora se puede poner letras en negrita poniendola de esta manera [ B ] texto en negrita [ / B ]:

function formato($texto){ //Da formato HTML a un texto
$ok=htmlspecialchars($texto);
str_replace("", "<b>", $ok);
str_replace("", "</b>", $ok);
return nl2br($ok);
}