PHP - ¿Sirve este código para evitar XSS y SQLi?

 
Vista:
sin imagen de perfil
Val: 10
Ha aumentado su posición en 7 puestos en PHP (en relación al último mes)
Gráfica de PHP

¿Sirve este código para evitar XSS y SQLi?

Publicado por Damian (6 intervenciones) el 07/09/2018 19:12:09
Buenas

Estoy intentando hacer que mi página no sea vulnerable, y programé el siguiente código para evitar ataques XSS e inyecciones:

1
2
3
4
5
6
7
$busqueda = trim($_POST['busqueda']);
if((strpos($busqueda, '<script>') !== false) OR (strpos($busqueda, "<h1>") !== false) OR (strpos($busqueda, "OR '1'='1'") !== false) OR (strpos($busqueda, "OR '1' = '1'") !== false))
{
	echo "<script>alert('se ha detectado un intento de XSS');</script>";
	$busqueda = "";
}
$busqueda = corregir($busqueda);

Si en la busqueda se detecta algún comando extraño, lo notifica y se vacía la variable .
La función "corregir" quita otros caracteres extraños (por ejemplo "<" y ">", "/" "\") y demás

Soy novato en cuanto a seguridad en aplicaciones web y si tienen algun consejo estaría muy pero muy agradecido.

PD: El código funciona, es decir, si intento insertar alguna de las cadenas que aclaré en el condicional aparece la alerta y no busca nada. Pero quiero saber si me falta algo. Desde ya muchas gracias
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder
sin imagen de perfil
Val: 740
Bronce
Ha aumentado 1 puesto en PHP (en relación al último mes)
Gráfica de PHP

¿Sirve este código para evitar XSS y SQLi?

Publicado por Gonzalo (615 intervenciones) el 08/09/2018 07:33:18
consulta este link https://www.w3schools.com/php/func_string_strip_tags.asp
y este otro http://php.net/manual/es/function.strip-tags.php
y dese un tiempo para revisar este lnk http://php.net/manual/es/security.php

recuerda, entre mas informacion le des a un hacker mas facil haces su trabajo, asi que en mi opinion solo limpia el campo y pidelo de nuevo, o limpia el campo y pon "error" y es todo.

busca a Chema Alonso de España en youtube, o busca "seguridad web", encontraras bastantes aportaciones.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar
sin imagen de perfil
Val: 10
Ha aumentado su posición en 7 puestos en PHP (en relación al último mes)
Gráfica de PHP

¿Sirve este código para evitar XSS y SQLi?

Publicado por Damian (6 intervenciones) el 08/09/2018 22:02:01
Muchas gracias Gonzalo,

tienes razón con que cuanta más información tiene el hacker más fácil hago su tarea; pero no sé si servirá para "asustarlos" ya que se notifica que cada intento de inyección o ataque de cualquier tipo se guarda en una base de datos externa (así también sé que intentaron hacer)

también estoy usando sentencias preparadas de mysqli

Muchas gracias por los artículos, voy a leerlos todos.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar
sin imagen de perfil
Val: 740
Bronce
Ha aumentado 1 puesto en PHP (en relación al último mes)
Gráfica de PHP

¿Sirve este código para evitar XSS y SQLi?

Publicado por Gonzalo (615 intervenciones) el 09/09/2018 00:41:09
desafortunadamente, internet es 100% anonimo, de ahi el porque hay tanto hacker.

asi que eso de asustarlos ... la verdad no los asustas a menos que sea un novato y no sepa borrar los registros de acceso.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar