PHP - ¿Sirve este código para evitar XSS y SQLi?

Mensajes realizados anteriormente (No estaban la última vez que entraste)

¿Sirve este código para evitar XSS y SQLi?
Damian (07/09/2018 19:12:09)336 visitas
3 respuestas

¿Sirve este código para evitar XSS y SQLi?
Gonzalo (08/09/2018 07:33:18)

¿Sirve este código para evitar XSS y SQLi?
Damian (08/09/2018 22:02:01)

¿Sirve este código para evitar XSS y SQLi?
Gonzalo (09/09/2018 00:41:09)

Pos: 660

Val: 10

Ha aumentado su posición en 7 puestos en PHP (en relación al último mes)

¿Sirve este código para evitar XSS y SQLi?

Publicado por Damian (6 intervenciones) el 07/09/2018 19:12:09

Buenas

Estoy intentando hacer que mi página no sea vulnerable, y programé el siguiente código para evitar ataques XSS e inyecciones:

$busqueda = trim($_POST['busqueda']);

if((strpos($busqueda, '<script>') !== false) OR (strpos($busqueda, "<h1>") !== false) OR (strpos($busqueda, "OR '1'='1'") !== false) OR (strpos($busqueda, "OR '1' = '1'") !== false))

	echo "<script>alert('se ha detectado un intento de XSS');</script>";

	$busqueda = "";

$busqueda = corregir($busqueda);

Si en la busqueda se detecta algún comando extraño, lo notifica y se vacía la variable .
La función "corregir" quita otros caracteres extraños (por ejemplo "<" y ">", "/" "\") y demás

Soy novato en cuanto a seguridad en aplicaciones web y si tienen algun consejo estaría muy pero muy agradecido.

PD: El código funciona, es decir, si intento insertar alguna de las cadenas que aclaré en el condicional aparece la alerta y no busca nada. Pero quiero saber si me falta algo. Desde ya muchas gracias

Valora esta pregunta

Me gusta: Está pregunta es útil y esta clara

No me gusta: Está pregunta no esta clara o no es útil

Responder

Pos: 13

Val: 740

Ha aumentado 1 puesto en PHP (en relación al último mes)

¿Sirve este código para evitar XSS y SQLi?

Publicado por Gonzalo (615 intervenciones) el 08/09/2018 07:33:18

consulta este link https://www.w3schools.com/php/func_string_strip_tags.asp
y este otro http://php.net/manual/es/function.strip-tags.php
y dese un tiempo para revisar este lnk http://php.net/manual/es/security.php

recuerda, entre mas informacion le des a un hacker mas facil haces su trabajo, asi que en mi opinion solo limpia el campo y pidelo de nuevo, o limpia el campo y pon "error" y es todo.

busca a Chema Alonso de España en youtube, o busca "seguridad web", encontraras bastantes aportaciones.

Valora esta respuesta

Me gusta: Está respuesta es útil y esta clara

No me gusta: Está respuesta no esta clara o no es útil

Comentar

Pos: 660

Val: 10

¿Sirve este código para evitar XSS y SQLi?

Publicado por Damian (6 intervenciones) el 08/09/2018 22:02:01

Muchas gracias Gonzalo,

tienes razón con que cuanta más información tiene el hacker más fácil hago su tarea; pero no sé si servirá para "asustarlos" ya que se notifica que cada intento de inyección o ataque de cualquier tipo se guarda en una base de datos externa (así también sé que intentaron hacer)

también estoy usando sentencias preparadas de mysqli

Muchas gracias por los artículos, voy a leerlos todos.

Valora esta respuesta

Comentar

Pos: 13

Val: 740

¿Sirve este código para evitar XSS y SQLi?

Publicado por Gonzalo (615 intervenciones) el 09/09/2018 00:41:09

desafortunadamente, internet es 100% anonimo, de ahi el porque hay tanto hacker.

asi que eso de asustarlos ... la verdad no los asustas a menos que sea un novato y no sepa borrar los registros de acceso.

Valora esta respuesta

Comentar

Se puede crear un link para que se redirecione esta tabla

Ordenar prioridad al hacer un update.