Um problemazito de segurança no output de feeds

softklin · May 8, 2008 at 07:11 PM

Boas pessoal.

Estou a desenvolver um site, e como um extrazito, resolvi disponibilizar os comentários sob forma de RSS ou xml.

A página responsável por executar o output do RSS vai à BD e recolhe as frases e respectiva informação, data/hora, etc... O problema é que na base de dados os caracteres estão sob a forma de entities, com a função html_entities.

Ao fazer output para o browser, normalmente (em ser por xml) dá bem, o problema é quando passo para xml, fica o á e similares... Ou seja, erro de xml: entidade indefinida. Então, uso a função html_entity_decode para voltar a ter os acentos...

E (finalmente...) o problema: se eu enviar como comentário <script>alert("ah ah ah owned!")</script> no html fica como está escrito, sem nenhum alerta de javascript, mas no xml (uma vez que faço decode à string), define-me um nó <script> com o conteudo alert(....)... 😄

Alguma dica para dar um fix nisto?

djthyrax · May 8, 2008 at 09:00 PM

Usa <![CDATA[bla bla bla bla]]>

softklin · May 8, 2008 at 09:01 PM

Sim, por acaso também tinha visto isso à pouco... Só que no body resulta, nos titulos não 😄

Para testar as feeds, estou a usar o thunderbird e o firefox... Tenho que ver melhor isto...

obrigado, já me ia esquecendo 😛

Sign In

Um problemazito de segurança no output de feeds

Recommended Posts

softklin

Link to comment

Share on other sites

djthyrax

Link to comment

Share on other sites

softklin

Link to comment

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Home

Activity

Revista PROGRAMAR

Important Information