Professional Documents
Culture Documents
PREVENIRLOS EN PHP
Los ataques XSS (Cross Site Scripting) suelen ser la forma ms habitual
que emplean los piratas informticos para atacar una pgina web. Para ello
se aprovechan de ciertos fallos de seguridad, sobre todo, en el filtrado y
validacin de campos de entrada. A travs de los cuales puede enviar script
o comandos maliciosos que nos afectan tanto a nuestro sitio web como al pc
del usuario que nos visita.
Un ejemplo bsico de ataque mediante XSS o inyeccin de cdigo
puede ser
http://www.ataquexss-php.com/search?p=<script>alert(Holamundo)</script>
En esta ocasin el ataque se reduce a mostrar un mensaje de alerta en el
equipo del usuario que nos visita, dado que el cdigo HTML solo se
ejecuta en el equipo del cliente no en el servidor. Este inofensivo
ataque se ha aprovechado de una vulnerabilidad en un campo de entrada,
el buscador. Podra haber sufrido un ataque ms daino, como el robo de
informacin confidencial alojada en su equipo.
Cuando desarrollamos un sitio web con PHP debemos tener cuidado con
formularios, buscadores, lugares susceptibles para poder llevar a cabo un
ataque mediante XSS. Por lo que debemos siempre verificar toda la
informacin que nos faciliten los usuarios, filtrando determinados caracteres
especiales que potencialmente pueden ser peligrosos.
Para ello PHP dispone de una serie de funciones que pueden sernos tiles a
la hora de proteger nuestra web frente a posibles ataques mediante XSS.
Hoy veremos algunas de ellas, como strip_tags o Input Filter.
Strip_tags
input-filter
lo
vamos
poder
lograr,
en
este
caso
la