Ayuda en bajada de phishing (sertotal.cl)

[Alvaro Herrera]

Rodrigo Fuentealba escribió:
> 2006/12/21, Alvaro Herrera <alvherre en alvh.no-ip.org>:
> >Cristian Rodriguez escribió:
> >
> >> Te invioto cordialmente a que me ilumines (por favor) que agujero de
> >> seguridad tiene PHP en si mismo,
> >
> >magic_quotes
> 
> [viene en off por omision]
> 
> Es una pifia de seguridad mantenida por compatibilidad, pero por
> defecto viene en Off. Hay que leer...

No hay nada que leer.  El lenguaje provee una funcionalidad tal, que si
la activas en una aplicacion, rompes los supuestos de seguridad de la
aplicacion de al lado (y por lo tanto queda sujeta a ataques de
inyeccion de SQL y otros); y si la desactivas para arreglar la otra
aplicacion, la primera deja de funcionar.

Compatibilidad o no, es una caracteristica arquitectonicamente insegura.
El solo hecho de tenerla estropea el lenguaje.  Y no es la unica -- tu
mismo has comentado ya de require/include.  Y el problema de que "open"
sea capaz de abrir una URL.  Me imagino que hay otros, porque los
brillantes cerebros que estan detras de todas esas ciertamente pueden
mucho mas.

Todo eso se puede "desactivar", pero todas ellas se pueden activar, y el
hecho de existir hacen al lenguaje inseguro.

-- 
Alvaro Herrera                 http://www.amazon.com/gp/registry/DXLWNGRJD34J
"All rings of power are equal,
But some rings of power are more equal than others."
                                 (George Orwell's The Lord of the Rings)