Anti Xss

[Guest GtOkAi]

alguém poderia postar sistema anti XSS pra não usarem em formulários tags como <b>, <i>,<center>....

obrigado ^^

[heltonritter]

Permitindo tags HTML sem brechas para XSS

http://php.locaweb.com.br/post.php?id=62

[Guest Visitante]

hmmm pelo que vi ai, mostra como colocar.. mais no meu caso, não mexo com php.. por isso que pedi ajuda =[ .. queria saber senão tem 1 já pronto que basta editar já o formulário ou algo

[heltonritter]

Se não for com PHP, alguma checagem via programação de todo modo vai ter que ser feita. Não conheço outro modo.

Mas, sei lá, dava para fazer um JavaScript para antes de enviar o formulário, varrer todas as strings e retirar as tags html (ou as que você não quer permitir).

Será?

Devo mover teu tópico para a área de Javascript do site?

Por falar nisso, aproveite e registre-se no fórum. Aguardo.

[Guest Visitante]

isso, então seria exatamente isso que preciso.. seria então um java script

[Beraldo]

Mas se você usar JavaScript, poderá haver falha de segurança, pois é possível desabilitar JavaScript, sendo possível inserir os códigos maliciosos normalmente. ;)

O ideal é fazerz com linguagens rodadas no servidor, como o PHP.

Analise bem aquele código, pois não é complexo: veja que é usado &lt; em vez de < e &gt; em vez de >; entre esses dois símbolos é inseria a tag que deve ser substituída. ;)

Abraços,

Beraldo

[Guest Visitante]

o problema é que meus conhecimentos em php são muitos baixos.. então não sei onde colocar exatamente cada coisa

[Guest GtOkAi]

bom.. não tem como alguém me dar 1 suporte por MSN? só para eu saber onde colocar exatamente isso:

$txt = htmlentities($txt);

$txt = str_replace("&lt;b&gt;", "<b>", $txt);

$txt = str_replace("&lt;/b&gt;", "</b>", $txt);

MSN: boothotmail1@hotmail.com

obrigado.

[Beraldo]

Insira onde os dados do formulário são recebidos. Por exemplo:

$txt = $_POST['txt'];
$txt = htmlentities($txt);
$txt = str_replace("&lt;b&gt;", "<b>", $txt);
$txt = str_replace("&lt;/b&gt;", "</b>", $txt);

[Guest GtOkAi]

já tentei só que não achei algo parecido :rolleyes:

de 1 olhada aqui:

http://wydworld.no-ip.org:8090/a/xss.txt

em nick e conteudo tem maxlenght então evita XSS... precisaria colocar o o anti xss no $detail e $a_answer.. se possivel me fale onde colocar exatamente...

Obrigado

[Beraldo]

Nesse código não existe a parte que recebe os dados. As duas variáveis que você citou vêm do banco de dados, não estào sendo inseridas no BD.

[GtOkAi]

<script>

location.href="index.php?page=main_forum";

</script>

<?php

$host="localhost"; // Host name

$username="localhost"; // Mysql username

$password="*****"; // Mysql password

$db_name="forum"; // Database name

$tbl_name="forum_question"; // Table name

// Connect to server and select database.

mysql_connect("$host", "$username", "$password")or die("cannot connect");

mysql_select_db("$db_name")or die("cannot select DB");

$datetime=date("d/m/y"); //create date time

$sql="INSERT INTO $tbl_name(topic, detail, name, email, datetime)VALUES('$topic', '$detail', '$name', '$email', '$datetime')";

$result=mysql_query($sql);

if($result){

echo "Tópico Criado!<BR>";

echo "<a href=index.php?page=main_forum>Clique Aqui para Ver seu Tópico</a>";

}

else {

echo "ERROR";

}

mysql_close();

?>

veja se é ai por favor, é porque estou a usar 1 sisteam de fórum simples para ficar integrado com o site.. são paginas como main_forum, createtopic onde só tem o formulario, o view_topic que postei anteroirmente e esse acima..

[GtOkAi]

já resolvi o problema, já pode dar closed dei 1 estudada em php ^^