funzione killHTML

[thitan]

ciao

per evitare inserimenti pericolosi e xss injection, ho scritto queste funzioni

Codice PHP:

function killHTML($html){
    $myReg = '/<[^>]*?[^>]*?>/';
    if(preg_match($myReg, $html)){
        $var = preg_replace($myReg, '', $html);
    }else{
        $var = $html;
    }
    return $var;
}

function killXSS($var){
    
    $badString = array('<javascript', '<script', '</script', '<frame', 'onload=', '<layer', '<meta http', '<object', '</object>', '<s', '<a', 'href=', '<body', '<title', '<input', 'src=', 'background=', '<bgsound', '<style', '/>');
    $goodString = array('jav-asc-rip-t', '', '', 'fr-a-me', 'onl-oad', 'la-y-er', '', '', '', '', '', '', '', '', '', 'sr-c=', '', '', '', '');
    
    $var = str_replace($badString, $goodString, $var);
    foreach($badString as $badWord){
        if(stristr($var, $badWord)){
            $var = str_replace($badString, $goodString, strtolower($var));
        }
    }
    return $var;
} 


dove la prima mi trancia di netto tutti i tag html, la seconda invece mi scrive i tag pericolosi in modo 'inoffensivo'..


alor, visto che non sono un esperto di regexp, secondo voi sono abbastanza sicure?
manca qualche tag pericoloso nella seconda funzione?

[punkrazio]

http://it.php.net/manual/en/function.strip-tags.php

puo darsi ma puo anche darsi ti possa tornare utile sta funzione

[andr3a]

la killXSS ha dell'ironico, per lo più che hai dimenticato il pericolo numero 1, l'iframe ... ma non è così che si risolvono i problemi di XSS, nemmeno tramite la migliore regexp

P.S. per la prima striptags andava più che bene ... la mia non è una critica distruttiva quanto una costruttiva, cerca di capire meglio cosa PHP offre già e come sia possibile fare XSS