Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Pessoal, se alguem puder ajudar.
Em um form de cadastro de banners, tenho as opções de prache gif, jpg e swf.
Agora to implementando para que seja possivel cadastrar banners em formato html e javascript para adsence.
O problema q da maneira como eu fiz é possivel inserir codigos em php no lugar de html puro ou javascript
Como fazer para prevenir qualquer tipo de tentativa de injection pelo form??
Das formas que tentei prevenir aqui, bloqueou javascript tbm....
A questão é justamente no caso de acesso indevido, sobre a execução e/ou exibição ja vi casos que ao inserir o codigo aconteceu de no lugar do banner aparecer uma pequeno form de upload por onde uparam outros arquivos.
vlw a dica, vou ver aqui !!!
Como leozitho disse sobre o strip_tags , e bom tambem ter um addslashes ;)
Abraços
Se é um cadastro de banners eu presumo que esse formulário esteja dentro de uma interface administrativa protegida por senha, ou seja, somente administradores do site terão acesso ao sistema e você não precisa se preocupar tanto com injection neste caso.
Se alguém inserir um código PHP e você dar um "echo" no site não vai ter problema nenhum com relação a segurança, pois o código não será executado e sim exibido.
Para remover tags PHP você pode utilizar a função nativa strip_tags, liberando só as tags permitidas.
Exemplo:
$codigo = strip_tags($codigo, '<script><p><a><iframe><img>');
Um abraço!