Evitar sql injection y xss

[Horst H. von Brand]

Leonardo Soto M. <leonardosoto en tutopia.com> wrote:
> On 9/21/07, Horst H. von Brand <vonbrand en inf.utfsm.cl> wrote:
> > Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> 
> [...]
> > > Llevar un tracking de aquellos elementos que en un nombre de pila no
> > > serían permitidos pero en el campo "contenido" de un blog sí lo son,
> >
> > Bienvenido al mundo de "se requiere validar los datos"...
> 
> Cuidado con pasarse de largo con las validaciones. Hoy leía a un tipo
> [1] muy enojado porque un sistemita de la línea aerea en que iba a
> viajar encontró que tener un signo "+" en una dirección de correo no
> era válido. Y parece que tampoco le dejaban poner un guión ("-") en su
> nombre.
> 
> [1] http://weblog.raganwald.com/2007/09/you-suck.html

Je.

Y el Sr. O (si, ese era su apellido completo) que tuvo lios porque se
valida "Apellido = Mayuscula + Minusculas". Etc.

Suficientes problemas tengo con mi apellido compuesto. Ya me imagino de
quienes son "de la Horra", o "Santo Domingo"...

Por lo demas, en el libro de expresiones regulares de O'Reilly aparece una
expresion que calza con direcciones de email... incompleta. Y tiene varias
/paginas/.

Si, validar no es facil. Y /siempre/ hay que calzar con lo que es valido y
descartar lo que no lo es (porque determinar todas las creativas formas en
que se pueden hacer "cosas interesantes" es imposible).

Bienvenido al mundo real, donde la parte del programa que hace el trabajo
es un 5 a 10% del total, el resto es validacion de entradas, lidiar con el
bendito usuario, y generar salida en formato "bonito".
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513