Comments on: ¿Como filtrar información que llega desde un formulario con PHP?

By: Victor De la Rocha

Victor De la Rocha — Thu, 24 Jan 2008 23:12:25 +0000

uff, que apuro me está sacando este código en estos momentos... uff uff uff

By: Victor De la Rocha

Victor De la Rocha — Fri, 11 Jan 2008 23:31:35 +0000

Si, buen punto. Antes deutilizar cualquier tipo de dato en una consulta sql o en un envío de emails hay que sanitizar los datos.

Para utilizar en consultas SQL utilizo una función mas sencilla:

php:

function sql_quote($value){
        if(get_magic_quotes_gpc())
        $value = stripslashes($value);
 
        //check if this function exists
        if(function_exists("mysql_real_escape_string"))
                $value = mysql_real_escape_string( $value );
            else//for PHP version < 4.3.0 use addslashes
                $value = addslashes( $value );
 
        return $value;
    }

Para utilizarla, solo hay que aplicarle a la cadena a filtrar la función y listo.

php:

$password = sql_quote($_POST['password']);
$query = mysql_query("SELECT * FROM usuarios WHERE usuario='admin' AND password='$password');

Y para evitar la alteración de el funcionamiento normal de las funciones de envío de emails, realmente no tengo idea pero creo que al final de cuentas es lo mismo.

Para evitar eso siempre utilizo procedimientos para asegurarme de que el email al que enviaré la información "REALMENTE sea un email", y en cuanto a las cabeceras (o headers), no las verifico y ni tampoco permito al usuario que las modifique.

Algo así hago para el envío de emails, aunque ya tengo mi versión mejorada en algúna de mis aplicaciones que estoy trabajando, pero esta es la versión que tengo online y la pueden encontrar en el código de sabros.us.

php:

/// Funcion sacada de sabrosus, modificada por Victor Bracco...
function enviaMail($to, $title, $body, $from) {
       $rp     = trim($from);
       $org    = " sabros.us";
       $mailer = "sabros.us Mailer";
 
       $head   = '';
       $head  .= "Content-Type: text/html \r\n";
       $head  .= "Date: ". date('r'). " \r\n";
       $head  .= "Return-Path: $rp \r\n";
       $head  .= "From: $from \r\n";
       $head  .= "Sender: $from \r\n";
       $head  .= "Reply-To: $from \r\n";
       $head  .= "Organization: $org \r\n";
       $head  .= "X-Sender: $from \r\n";
       $head  .= "X-Priority: 3 \r\n";
       $head  .= "X-Mailer: $mailer \r\n";
 
       $body   = str_replace("\r\n", "\n", $body);
       $body   = str_replace("\n", "\r\n", $body);
       if(is_array($to)
       {
            for_each($to as $suscriptor)
            {
                    @mail($to, $title, $body, $head);
            }
       } else {
                    @mail($to, $title, $body, $head);
       }

By: jonaytom

jonaytom — Fri, 11 Jan 2008 15:09:06 +0000

Aparte de la validación javascript antes de enviar el formulario, Para evitar que los hackers inserten código no deseado hagan sql o email injection también es recomendable hacer una validacion en el lado del servidor. Recomiendo usar una función como esta:

php:

function ValidarDatos($campo){
//Array con las posibles cadenas a utilizar por un hacker
$CadenasProhibidas = array("Content-Type:",
//evita email injection
"MIME-Version:", "Content-Transfer-Encoding:","Return-path:","Subject:","From:","Envelope-to:","To:","bcc:","cc:",
"UNION",
// evita sql injection
"DELETE","DROP","SELECT","INSERT","UPDATE","CRERATE","TRUNCATE","ALTER","INTO","DISTINCT","GROUP BY","WHERE","RENAME","DEFINE","UNDEFINE","PROMPT","ACCEPT","VIEW","COUNT","HAVING","'",'"',"{","}","[","]",
 // evita introducir direcciones web
"HOTMAIL","WWW",".COM","@","W W W",". c o m","http://",
//variables y comodines
"$", "&amp;","*");
 
//Comprobamos que entre los datos no se encuentre alguna de 
//las cadenas del array. Si se encuentra alguna cadena se 
//dirige a la página anterior 
 
foreach($CadenasProhibidas as $valor){
    if(strpos(strtolower($campo), strtolower($valor)) !== false){
		echo("
        alert('No puede introducir direcciones web, comillas, corchetes, código de programación o cualquier dato no relativo a los campos del formulario');
		history.back();");
        exit;
        }
    }
}
//Asignamos la variable POST y llamada a la función Validardatos($texto)
$texto= $_POST["texto"];
ValidarDatos($texto);

By: Victor De la Rocha

Victor De la Rocha — Fri, 14 Dec 2007 01:48:10 +0000

Hola @Juan Carlos, no te preocupes, todo bien.

Para lograr que se vean los thumbnails, es necesario buscar en index.php al rededor de la línea 165, donde está algo como esto:

php:

echo "\t\t\"preview\" src=\"http://www.webshotspro.com/thumb.php?url=&quot;.htmlspecialchars($row["enlace"])."\" alt=\"".htmlspecialchars($row["title"])."\" />";

y sustituirlo por esto:

php:

echo "\t\t\"preview\" src=\"http://sabros.us/thumbs/?url=&quot;.htmlspecialchars($row["enlace"])."&size=T\" alt=\"".htmlspecialchars($row["title"])."\" />";

~~Esta información la obtuve de los foros de sabrosus (Aquí)~~ No es cierto, no recuerdo de donde la obtuve, sólo recuerdo que de alguna forma Pedro Santana tuvo que ver en esto ... De cualquier forma jé, esa es la solución

By: Juan Carlos

Juan Carlos — Fri, 14 Dec 2007 00:14:02 +0000

Ante todo mis disculpas por utilizar un comentario en un tema que no tiene nada que ver. Pero no encontré en el sitio un lugar de contacto. Agradecería me pudieras comentar como has logrado que en tu sabros.us se vean los thumbnails de los links. Desde ya muchas gracias.

By: Victor De la Rocha

Victor De la Rocha — Fri, 07 Dec 2007 22:09:30 +0000

uuh! la onda con estas funciones de PHP5 para el filtrado y validado de datos provenientes de alguna fuente insegura

http://www.php.net/manual/en/ref.filter.php

De lujo!!

By: Victor De la Rocha

Victor De la Rocha — Mon, 26 Nov 2007 20:51:18 +0000

Hola Jesús, gracias por tu dejarme tu punto de vista.

Lo que trato de hacer con este código es filtrar, recibir o validar uno a uno los campos que recibo desde un formulario que entran en un documento.

Se me da mucho la situación de que cambio de campos una y otra vez debido a cuestiones de trabajo por lo que tengo que estar haciendo un movedero de pequeños bloques de código para validar cada uno de los campos.

Este código hace que yo no tenga que estar haciendo un pequeño bloque de código para validar (o recibir, filtrar) cada uno de los datos (o campos) y hacer todo de un solo golpe.

Hacerlo con JavaScript es una solución siempre y cuando esté activado el JavaScript en el navegador, pero y... ¿si no está activado? Todos los campos se van ir sin validar. Es por eso que considero hacerlo desde PHP

Gracias por dejar tu punto de vista, es muy bien bienvenido

By: Jesús

Jesús — Mon, 26 Nov 2007 20:40:32 +0000

hola, que tal?? he estado leyendo un poco tus codigos y particularmente este, pero de verdad no entiendo mucho para que sirve. a ver segun pude entender quieres filtrar a que ninghun campo quede vacio verdad???? creo que eso es más facil con un javascript y aparte no te saca de la pagina, bueno todo esto en mi humilde opinión. cuando tenga mas tiempo seguire hechando un ojo en tu web quew en general esta muy buena para compartir conocimientos entre la comunidad de programadores

By: Victor De la Rocha

Victor De la Rocha — Thu, 15 Nov 2007 13:55:17 +0000

@Edgar J. Suárez: uff, yo mas flojo, por eso, no me cambio a rails ...

@Stan: Pues ánimo póngase a aprender ... Aquí estamos pa lo que se ofrezca.

By: Stan

Stan — Wed, 14 Nov 2007 00:04:59 +0000

Te estas aventando unos post's muy interesantes de un tiempo para aca, vere que se puede hacer