con "register_globals on" te pueden ejecutar código php
es un bugaso de php 4
.
.
array_map('limpiar_variable',$_POST);
donde limpiar_variable es una funcion q trata cadenas
haciendo por ej. return str_replace("'","",$str)
Gerardo Bort dice:
igual no es tan sencillo... osea... tenes q escapar comillas dobles, simples
las aperturas y cierres de tags < >
aunq a veces es mucho más jodido
por ejemplo cuando vos queres q la comilla sea un caractér q el usuario pueda usar
pq en el ejemplo q te di directamente estás sacando las comillas
solucionar las injecciones sobre los index.php --> XSS (leer)
http://www.geronet.com.ar/?p=47
No hay comentarios:
Publicar un comentario