Comments on: XSS en algunos temas de WordPress

By: javiaurea

javiaurea — Wed, 13 Jan 2010 10:30:47 +0000

Claro!

Gracias Oscar.

By: oscar

oscar — Wed, 13 Jan 2010 10:07:40 +0000

perdon el ejemplo:

By: oscar

oscar — Wed, 13 Jan 2010 10:05:46 +0000

Javiaurea creo que es mejor:

para codificar también las comillas. Es importante codificar las comillas porque imaginemos que ponemos la consulta xxxxx en un campo input:

si no codificamos las comillas, la consulta “xxxxxx nos cierra las comillas del value:

dejando todavía vulnerable el codigo.

By: javiaurea

javiaurea — Wed, 13 Jan 2010 09:23:08 +0000

No aparece el ejemplo, lo pongo con entidades html:

veamos ahora…

By: javiaurea

javiaurea — Wed, 13 Jan 2010 09:19:06 +0000

Me lo apunto!

Hasta en mi propio blog he caído :( y el caso es que siempre he tenido presente los problemas de inyección de código cuando desarrollo mis propios proyectos. Al tratarse de WP me confié y zaca, mal creí que la cadena devuelta estaría escapada.

Si se quiere mostrar la cadena de búsqueda que devuelve WP de formas segura podemos usar strip_tags o htmlentities.

Ejemplo:

El problema no es tanto del comando echo sino del valor de get_search_query()

Un saludo.

By: oscar

oscar — Wed, 13 Jan 2010 08:16:45 +0000

Hola el error no es que aparezca el término de la búsqueda, que puede resultar interesante volver a ver la cadena buscada.

El problema es que no se filtren los resultados que se insertan…..

Con PHP en lugar de eliminar el echo, creo que resulta mucho más práctico y fino filtrar el resultado de get_search_query() con la función htmlentities() que nos codificará los caracteres especiales del html ( , & )… a < > & …. . Es conveniente utilizar esta función con la opción ENT_QUOTES para que nos codifique también las comillas.

En algunos casos también puede ser útil el uso de la función strip_tags para eliminar tags html de una cadena determinada.

Saludos.