Gnuget

usando sanitize

Escrito por Gnuget en cakephp

CakePHP nos regala una clase para sanear datos,es decir quitar todo aquel carácter raro que podría afectar la seguridad de nuestra aplicación (para mas detalles, leer acerca de XSS)

Demos un vistazo rápido al uso de esta clase:

Lo primero es declarar que vamos a usar sanitize.

uses("sanitize");

Después por ejemplo queremos eliminar cualquier carácter no alfanumérico (es decir, que no sea letras ni números) podemos usar el método paranoid de la siguiente forma

$foo = Sanitize::paranoid($foo);

Pero si queremos preservar en la cadena algún carácter no alfanumérico, simplemente se lo pasamos como un segundo argumento al método.

$foo = Sanitize::paranoid($foo,array("@",".","_"));

Otro método interesante es el html que nos permite convertir los caracteres especiales del html (ej <,>,/, &, etc) en sus entidades (ej &,< etc).

$baz = Sanitize::html($baz);

O bien que funcione como la función “strip_tags” de php y nos quite todas las etiquetas de la cadena, simplemente agregando un argumento false al método:

$bar = Sanitize::html($bar,false);

El método escape nos permite sanear una consulta a la base de datos:

$bar = Sanitize::escape($bar);

Además tenemos funciones como stripWhitespace (quita espacios), stripImages (quita imagenes), stripScripts(quita cualquier indicio de una llamada a un script) o si queremos una forma de hacer todo esto al mismo tiempo sin tener que ejecutar los tres tenemos a stripAll que nos limpia nuestra cadena de, espacios, imágenes y scripts.

Para mas referencia ver la referencia en el sitio de cakephp