This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Category:OWASP PHP AntiXSS Library Project/es
Introducción
AntiXSS es una clase para el uso con PHP 5+ que ayuda a reducir vulnerabilidades de XSS (cross-site scripting) codificando automáticamente la salida para comportarse solamente como se pretende.
Requerimientos
- PHP5 o superior
- Extensión mb_string PHP
Uso
- Asegúrese que la extensión mb_string extensión está disponible con su instalación PHP. Si está utilizando Apache sobre Windows, esto puede ser más probablemente hecho agregando (o des-comentando) una línea en su archivo php.ini. Sobre otras plataformas, tal vez necesite recompilar PHP. Vea http://us2.php.net/mb_string] para mas información.
- Para hacer el código disponible para su programa, incluya el archivo owasp.antixss.php, usando una línea como esta: require_once "/path/to/owasp.antixss.php";
- No es necesario instanciar la clase, aunque puede si así lo desea. En lugar de ello, realice las llamadas utilizando el Operador de Resolución de Alcance (::), como esto: echo AntiXSS::HTMLEncode($myOutput);
Ejemplos
HTML
Hello, <php echo AntiXSS:HTMLEncode($nameOfMyUser); ?>!
JavaScript
... alert(myFunction('<?php echo AntiXSS:JavaScriptEncode($myVariable); ?>'); ...
URL
... http://example.com/myscript.php?<?php echo AntiXSS::URLEncode($myQueryStringValue); ?> ...
XML
<myelement myattribute="<?php echo AntiXSS::XMLAttributeEncode($myAttributeValue); ?>"><?php echo AntiXSS::XMLEncode($myElementValue); ?></myelement >
Descargas
Las descargas no están disponibles aún.
- owasp.antixss.php
- demo.owasp.antixss.php
Solución de Problemas
Codificación
La clase AntiXSS será usada por cualquier codificación de caracteres soportado por libmbfl, la librería sobre la cual las funciones mbstring están basadas, con excepción de 7bit y BASE64.
Una lista de los caracteres soportados esta disponible en PHP.net: [1]
La clase AntiXSS utiliza las siguientes codificaciones: UTF-32, HTML-ENTITIES
Normalmente, su definición de doctype va a coincidir con la codificación de sus archivos de código fuente y su base de datos fuente. Si tiene problemas donde algunos caracteres no se muestren o se muestren de forma errónea, compruebe la codificación de cada fuente de datos y archivos involucrados.
Y particularmente si usted desea una salida extendida o caracteres multibyte dentro de sus archivos de código fuente, asegúrese que la codificación de todos los archivos involucrados coincide como el formato de salida, a menos que se haga cargo de sus conversiones manualmente utilizando mb_convert_encoding.
This category currently contains no pages or media.