segurança no php

[horacio2009 1]

boa noite a todos!!!

tudo bem com vcs?

Galera, até umas versões anteriores do php, tinha o magic_quotes, só que isso se tornou obsoleto e agora, o php vem com essa proteção( gerar um escape onde tem aspas) como padrão, correto????

enfim...eu tenho um site que gera as paginas de acordo com a variável que recebe..ok...só que uma empresa que faz testes tem conseguido injetar javascript( um alert, mas injeta).

essa proteção nativa do php não devia gerar um escape e impedir esse alert????

na duvida, convém habilitar o macic_quotes?(mesmo sendo obsoleto?)

enfim, galera...o que vocês tem a dizer sobre meu caso??? toda hora essa empresa encontra vulnerabilidade quando o assunto e recebimento de variáveis...

Como fica????

Valeu pela atenção, pessoal!!!

Horácio

[criatividade zero 17]

normalmente são robos e fazem tentativas

poste a parte do codigo em questão

[horacio2009 1]

então, a parte em questão é o recebimento da variavel titulo que chega assim:

$titulo=$_GET['titulo']; porém, hoje, quando eu vi o tal erro, enfiei essa variavel dentro da classe:

 

<?php  class Limpeza { 	function __construct() 		{ 		} 	/***********************************************************/ 	public function strip($info) 	  {       $info=str_ireplace("<","",$info); 	  $info=str_ireplace(">","",$info); 	  /* 			$info=str_ireplace("<","<",$info); 			$info=str_ireplace(">",">",$info); 	  */ 	  $info=str_ireplace("'","",$info); 	  $info=str_ireplace(")","&",$info); 	  $info=str_ireplace("(","",$info); 	  $info=strip_tags($info); 	  $info=utf8_encode($info); 	  $info=htmlspecialchars($info, ENT_QUOTES); 	  $info=addslashes($info); 	  //$info=mysql_real_escape_string(   	  return $info;       } } ?>

porém, mesmo havendo essa filtragem, ainda consigo injetar o javascript...

tem como melhorar essa classe, ou colocar algum outro filtro para a variável $titulo??