Solo estoy revisando un script que quiero usar para mi sitio web. El autor filtra todos los datos ingresados por el usuario ( $_POST
y $_GET
) con esta función:
function XSSCheck($value) {
return preg_replace(
array('/&(?!amp;|quot;|nbsp;|gt;|lt;|laquo;|raquo;|copy;|reg;|#[0-9]{1,5};|#x[0-9A-F]{1,4};)/', '/#(?![0-9]{1,5};|x[0-9A-F]{1,4};)/', '|<|', '|>|', '|"|', "|'|" ),
array('&', '#', '<', '>', '"', '''),
stripslashes($value)
);
}
Si filtro una cadena con eso, ¿sería posible inyectar en esta consulta SQL, por ejemplo?
SELECT * FROM table WHERE ID = '{$_REQUEST['id']}'
Ya lo probé, pero no encontré ninguna forma de hacerlo.