XSS mediante HTML no estándar

ByLuis May 7, 2007

Cuando se quieren evitar ataques XSS, normalmente en PHP se usan las funciones htmlspecialchars o htmlentities.

Ahora veo un ejemplo en el que un ataque puede evitar estas funciones cuando se crea la pÃ¡gina con HTML no estÃ¡ndar. Tenemos el tÃpico ejemplo de un texto que se introduce por un formulario y se presenta como un enlace.

$dato = htmlentities($_GET['dato'], ENT_QUOTES);
echo "<a href=pagina.php?dato=$dato>Enlace</a>";

Si os fijÃ¡is bien verÃ©is que el enlace estÃ¡ mal formado y no tiene las comillas en el href. Si metieramos como dato de entrada lo siguiente: ” onclick=alert(null)” (sin las comillas), nuestra pÃ¡gina sufrirÃa un ataque XSS y mostrarÃa un mensaje alert.

Non-Standard HTML Fuels XSS Attacks

PHP

Crear un sistema de notificación web con XMPP y PHP

ByLuis June 22, 2010

Completísimo tutorial que nos explica como realizar un sistema de notificación web en tiempo real mediante XMPP y PHP. El tutorial nos explica cómo funciona el XMPP, cómo instalar Openfire (yo he usado ejabberd y este no le conozco, si alguien lo conoce que me comente que tal).

En el ejemplo hará uso de jQuery y Strophe para acceder al servidor XMPP.

Build a web-based notification tool with XMPP

Gracias Gerardo por el aviso

PHP | Seguridad

PhpSecInfo: información sobre la seguridad de tu PHP

ByLuis April 3, 2007

PhpSecInfo es un equivalente a phpinfo() que nos muestra informaciÃ³n similar a este pero indicando los puntos negros en nuestra instalaciÃ³n, mediante una serie de test realizados miediante una Ãºnica llamada en el entorno de PHP, identifica posibles problemas de seguridad y ofrece soluciones.

Eso sÃ, hay que tener en cuenta que PhpSecInfo no sustituye mÃ©todos de programaciÃ³n para evitar problemas de seguridad y no hace comprobaciones de nuestro cÃ³digo PHP, tan solo detecta posibles fallos de seguridad.
PhpSecInfo

Desarrollo web | Quicklinks

TheseDays.com: An Easy Way to Detect Mobile Devices

ByLuis August 11, 2010

On the These Days blog there’s a recent post talking about creating a mobile version of your site and how you can detect if the visitor is using a mobile browser or not using WURFL. WURFL, The Wireless Universal Resource File (WURFL) is an open sourc …

Post original

Desarrollo web

Intentando definir la Web 2.0

ByLuis April 12, 2006

Interesante artículo que intenta definir qué es la Web 2.0 o cómo conseguir crear nuestra propio diseño 2.0, algo que puede ser muy abstracto. Unas cuantas características que se suelen encontrar en los sitios que definimos como Web 2.0:

Debe ser limpio, claro y debe usar un diseño en columnas.
El fondo debe ser blanco y muy claro, e incluso usar degradados de color claro al blanco.
Esquinas redondeadas, ya sea redondeando una sola esquina, redondeando esquinas alternas o redondeando todas menos una.
La letra debe ser grande, clara y preferiblemente Sans-Serif.
Imágenes con reflejos redondeados y uso de iconos.
Colores pasteles, fondos suaves y usando con cuidado los colores oscuros.

Design for 2.0

Vía / Vecindad Gráfica

PHP

POG: generador de objetos para PHP

ByLuis July 30, 2007

POG (PHP Object Generator) es una aplicaciÃ³n open source que genera cÃ³digo limpio y vÃ¡lido para PHP4 y PHP5 para generar objetos. Otra caracterÃstica del cÃ³digo que genera es que es sencillo de seguir.
El tiempo que podemos ahorrar a la hora de desarrollar nuestras aplicaciones puede ser considerable. TambiÃ©n nos ofrece la aplicaciÃ³n online para poder crear nuestros objetos. HabrÃ¡ que indicar quÃ© versiÃ³n de PHP queremos, el nombre del objeto y los atributos del objeto: nombre y tipo de dato, el cual coincidirÃ¡ con los posibles tipos de datos de MySQL. A parte de ofrecernos el cÃ³digo PHP, en los comentarios PHP encontraremos la sentencia para crear la tabla en MySQL.
PHP Object Generator
VÃa / International PHP Magazine

Desarrollo web

Spinner Control: control HTML mediante Prototype

ByLuis July 31, 2007

Spinner Control es una librerÃa creada con Prototype que permite crear controles HTML que modifican su valor mediante botones incluidos en ellos. Ya hace tiempo implementamos nuestro propio controlador, por lo que no es necesario explicar cÃ³mo hacerlo.

Entre las caracterÃsticas que ofrece encontramos lo siguiente:

PulsaciÃ³n continua del botÃ³n considerada
Aumento de velocidad segÃºn el tiempo
Tiene en cuenta los cursores arriba y abajo
Trabaja con nÃºmeros enteros, decimales y arrays.
Intervalo configurable
MÃ¡ximo y mÃnimo configurable
Fuerza mÃ¡ximo y mÃnimo cuando pierde el foco
Uso de prefijos y sufijos

Spinner Control

VÃa / dzone

Similar Posts