La siguiente función era utilizada para validar los datos en una aplicación web -es una versión modificada del método que trae ezSQL
php:
function escape($text) {
return mysql_real_escape_string(stripslashes(strip_tags($text)), $this->connection);
}
return mysql_real_escape_string(stripslashes(strip_tags($text)), $this->connection);
}
Se usaba de la siguiente manera:
php:
php:
// listar.php
<html>
<html>
<head>
<title>Demo</title>
</head>
<body>
<?php $links = $db->get_results('SELECT url, title FROM links'); ?>
<ul>
<?php foreach ($links as $link) : ?>
<li><a href="<?php echo $db->escape($link->url); ?>">
<?php echo $db->escape($link->title); ?></a></li>
<?php endforeach; ?>
</ul>
</body>
</html>
¿Pueden identificar donde está el error?
Nota: la respuesta al quiz sobre validación de datos, todavía queda pendiente a pedido de Victor.
2 replies on “Cuando los filtros no hacen lo que deberían – Parte 2”
Pues parece que nadie se animó a buscar el error.
El fallo quizas este en listar.php ya que creo que puede ser vulnerable a ataques XSS. En concreto en el href.