Tengo un área de texto donde el usuario puede escribir un artículo. El artículo puede contener texto (negrita y cursiva), enlaces y videos de youtube. ¿Cómo permito esas ciertas etiquetas html y aún publico un código seguro de prevención de xss?¿Cómo permitir ciertas etiquetas html?
me gustaría utilizar HTMLPurifier, para garantizar que sólo se mantiene HTML
que debería agregue que PHP proporciona la función strip_tags(), pero no es tan bueno (cotización):
Dado que
strip_tags()no valida las etiquetas HTML, parciales o rotas, puede eliminar más texto/datos de lo esperado.
Esta función no modifica los atributos de las etiquetas que que permiten el usoallowable_tags, incluyendo el estilo y onmouseover atributos que un usuario malicioso puede abusar de la hora de escribir texto que se mostrará a otros usuarios.
Si está buscando una protección XSS real, sugiero usar HTMLPurifier. Hacerlo usted mismo es bastante difícil, si no imposible de hacer. Y está destinado a tener errores (/ agujeros) en él.
+1 por hacer una cita de strip_tags() notas –
¡Thx! Parece que htmlpurifier es el camino a seguir. Solo para aclarar; htmlpurifier previene las inyecciones xss, sql y todos los demás códigos peligrosos? – Michael
Lo he usado un par de veces para limpiar la entrada del usuario y asegurarme de que solo contiene las etiquetas que había elegido permitir; si eliges las etiquetas/atributos permitidos cuidadosamente, evitarán XSS. Pero no hará nada con las Inyecciones SQL: ese es otro problema, que resolverás asegurándote de que lo que colocas en las consultas SQL sea seguro * (los enteros deben ser enteros, las cadenas deben escaparse correctamente, ... o debes use declaraciones preparadas) * –