Não use strip_tags, strip_links e nem sanitize

Encontrei este post no Ruby on Rails Security Blog.

O autor aqui cita três métodos que usamos constantemente e como eles representam uma falha de segurança no Rails.

Veja estes dois exemplos abaixo:

strip_tags("sdfasdf<script>alert('hello')</script>")

O código acima retornará: "sdfasdf<script>alert('hello')</script>"

strip_links(”Test”)

E este código retorna "<a xhref='http://www.attacker.com/'>Test</a>"

Segundo o autor do post, este problema já foi reportado mas os métodos não devem ser alterados até a versão 2.0 do Rails. Por isto, cuidado ao usá-los crianças…

Originally published at nomedojogo.com on September 1, 2007.