Acabo por concordar com o Anderson. Pelo que andei olhando, na maioria dos casos seria desnecessário algo como o Purifier; por hora o strip_tags() faz bem o seu papel. Dependendo do projeto, caso precise permitir certas tags, meio "perigosas" acho que vem a calhar sim uma biblioteca mais especializada.
*Talvez isso mude um pouco o rumo da thread, mas vai: ...* Apesar de sempre ser cauteloso com relação ao que o usuário pode enviar , acabei por voltar um pouco a atenção para esse assunto após ver as recentes noticias sobre ataques aos sites do governo. Acredito que assuntos relacionados á segurança de aplicações deveriam ser mais difundidos entre a comunidade, devido á sua grande importância. Pra nos defender temos que conhecer as estratégias do inimigo. Nesse tipo de ataque "denial of service" ou coisa parecida , o site recebe um grande número de acessos simultâneos feitos por robôs, tirando assim o site do ar. Ao contrario do xss esse não parece ser um tipo "previnível" de ataque ... ou estou enganado? Opiniões .... Em 28 de junho de 2011 01:00, Anderson Marques Ferraz < [email protected]> escreveu: > Adiantadamente, peço desculpas se cometi algum equívoco. > > Eu não lembro onde, mas li em algum lugar que o Shadowhand disse que tirou > o xss_clean simplesmente porque existe um projeto muito melhor, mais > completo e open source. Então, é melhor simplesmente incorporar essa outra > solução no seu projeto do Kohana do que reescrever código. > > Ainda assim, Gabriel, eu não acho que através do Request seja feita > qualquer filtragem de XSS. Você poderia mostrar um exemplo? > > Quando o Tarsis falou globais, eu imagino que quis dizer as superglobais, > $_GET e $_POST, principalmente. Até porque o método Security::xss_clean() > *tinha* como objetivo limpar a entrada do usuário de coisas indesejadas no > output. > > Essa limpeza de html, na minha opinião, não necessariamente é somente pra > formulários WYSIWYG ou requisição externa de HTML, mas principalmente pra > previnir que um espertalhão coloque alguma bobagem onde não deve. Na maioria > dos casos, usar o Purifier não é necessário e sanitizações/validações > personalizadas são o suficiente. Mas em algumas situações, como num box de > comentários, pode não ser tão simples. Então, nesse caso, o Purifier é mais > indicado, suportando até whitelist, o que é interessante. > > Nunca usei o Purifier em produção, mas não duvido que uma coisa tão > completa seja também onerosa em desempenho. Entretanto, é melhor perder um > pouco de desempenho do que deixar alguma parte vulnerável. Isso, é claro, se > não der pra resolver de uma forma mais simples, como parece ser a maioria > dos casos. Se ele quer XSS, deve usar o Purifier. Se é necessário ou não, já > me parece uma outra questão. > > > > Em 27 de junho de 2011 20:37, Gabriel Reitz Giannattasio < > [email protected]> escreveu: > > Ela tava falando de variaveis globais, se for pra requisição externa de >> HTML ou uso de formularios que aceitem WYIWYG, dai o Purifier é show mesmo, >> senão ele só vai fazer parser a toa e onerar o desempenho da aplicação. >> >> >> Abraço, >> Gabriel R. Giannattasio >> [email protected] >> Tel: (48) 8415 3555 >> >> >> 2011/6/27 Anderson Marques Ferraz <[email protected]> >> >>> Ou eu não entendi, ou eu não ache que funcione, Gabriel. Creio que a >>> forma mais correta seja utilizando o HTMLPurifier mesmo. >>> >>> Em 27 de junho de 2011 19:31, Gabriel Reitz Giannattasio < >>> [email protected]> escreveu: >>> >>> Use o REQUEST para filtrar. >>>> >>>> PARAM -> rota >>>> QUERY -> querystring >>>> POST -> post >>>> >>>> http://kohanaframework.org/3.1/guide/api/Request#query >>>> >>>> Abraço, >>>> Gabriel R. Giannattasio >>>> [email protected] >>>> Tel: (48) 8415 3555 >>>> >>>> >>>> >>>> 2011/6/27 Anderson Marques Ferraz <[email protected]> >>>> >>>>> >>>>> http://forum.kohanaframework.org/discussion/7879/securityxss_clean-deprecated-since-v3.0.5-what-to-use-insteads/p1 >>>>> >>>>> *Remember that you only need to worry about XSS if you are accepting >>>>> HTML input and using it as output.* >>>>> >>>>> http://htmlpurifier.org/ >>>>> >>>>> https://github.com/shadowhand/purifier >>>>> >>>>> Em 27 de junho de 2011 13:58, tarsis lima <[email protected]>escreveu: >>>>> >>>>> Boa tarde pessoal, >>>>>> >>>>>> Como voces fazem para filtrar suas variaveis globais no Kohana? >>>>>> Ao que parece o security::xss_clean() foi retirado da versão 3.1. >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> Társis Lima - Programação Php & MySql >>>>>> >>>>>> -- >>>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>>> Php" dos Grupos do Google. >>>>>> Para postar neste grupo, envie um e-mail para >>>>>> [email protected]. >>>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>>> [email protected]. >>>>>> Para obter mais opções, visite esse grupo em >>>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Anderson Marques Ferraz >>>>> UEFS - Engenharia de Computação - 2006.1 >>>>> Linux user #500881 - http://counter.li.org/ >>>>> >>>>> Money demands that you sell, not your weakness to men's stupidity, but >>>>> your talent for their reason. >>>>> (Francisco d'Anconia) >>>>> >>>>> -- >>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>> Php" dos Grupos do Google. >>>>> Para postar neste grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para obter mais opções, visite esse grupo em >>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>> >>>> >>>> -- >>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>> Php" dos Grupos do Google. >>>> Para postar neste grupo, envie um e-mail para >>>> [email protected]. >>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>> [email protected]. >>>> Para obter mais opções, visite esse grupo em >>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>> >>> >>> >>> >>> -- >>> Anderson Marques Ferraz >>> UEFS - Engenharia de Computação - 2006.1 >>> Linux user #500881 - http://counter.li.org/ >>> >>> Money demands that you sell, not your weakness to men's stupidity, but >>> your talent for their reason. >>> (Francisco d'Anconia) >>> >>> -- >>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>> Php" dos Grupos do Google. >>> Para postar neste grupo, envie um e-mail para >>> [email protected]. >>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>> [email protected]. >>> Para obter mais opções, visite esse grupo em >>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>> >> >> -- >> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >> Php" dos Grupos do Google. >> Para postar neste grupo, envie um e-mail para [email protected] >> . >> Para cancelar a inscrição nesse grupo, envie um e-mail para >> [email protected]. >> Para obter mais opções, visite esse grupo em >> http://groups.google.com/group/kohana-php?hl=pt-BR. >> > > > > -- > Anderson Marques Ferraz > UEFS - Engenharia de Computação - 2006.1 > Linux user #500881 - http://counter.li.org/ > > Money demands that you sell, not your weakness to men's stupidity, but your > talent for their reason. > (Francisco d'Anconia) > > -- > Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" > dos Grupos do Google. > Para postar neste grupo, envie um e-mail para [email protected]. > Para cancelar a inscrição nesse grupo, envie um e-mail para > [email protected]. > Para obter mais opções, visite esse grupo em > http://groups.google.com/group/kohana-php?hl=pt-BR. > -- Társis Lima - Programação Php & MySql -- Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" dos Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected]. Para cancelar a inscrição nesse grupo, envie um e-mail para [email protected]. Para obter mais opções, visite esse grupo em http://groups.google.com/group/kohana-php?hl=pt-BR.
