Evitar sql injection y xss

Horst H. von Brand vonbrand en inf.utfsm.cl
Sab Sep 22 01:22:40 CLT 2007


Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> Por error le envié el mensaje sólo al doc. reenvío a la lista.
> 
> El 21/09/07, Rodrigo Fuentealba <darkprox en gmail.com> escribió:
> > El 21/09/07, Horst H. von Brand <vonbrand en inf.utfsm.cl> escribió:
> > > Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> > > > El 21/09/07, Alvaro Herrera <alvherre en alvh.no-ip.org> escribió:
> > > > > Claudio Salazar escribió:
> > > >
> > > > Si te pones a pensar en todas las posibilidades, no es suficiente.
> > >
> > > Revisa <http://www.dwheeler.com/secure-programs> para una larga lista de
> > > sugerencias...
> > >
> >
> > Buen libro. Encontré varias personas en el instituto en el que me
> > matriculé (no quiero decir estudié, por basuras entremedio) que decían
> > que para validar datos era necesario el sentido común, cosa que está
> > mala por dos razones:
> >
> > 1.- No todos los seres humanos tienen sentido común. Los que carecen
> > completamente de ello reciben varios nombres, entre ellos:
> > "políticos", "periodistas de espectáculos" y "usuarios de Windows".

Para nuestros efectos, basta con "programador"...

> > 2.- No podemos pretender conocer todas las posibilidades de
> > validación, pues (un ejemplo nada más) en el caso del correo
> > electrónico hay un RFC que menciona los carácteres que debieran ser
> > válidos para las nominaciones de e-mails, pero un RFC puede ser
> > implementado correctamente o no por un cliente (aunque debiera!)

Si la direccion de correo es ilegal, el usuario tendra otros problemas que
no poder usar tu sistema...

> > > > Ponte a pensar en un trozo de código que quieres postear (pensando en
> > > > un blog, naturalmente; o en una aplicación de educación a distancia,
> > > > como una que estoy haciendo ahora).
> > >
> > > Si revisas las cosas que los blogs aguantan como tags en sus comentarios,
> > > suelen ser /muy/ limitados.
> >
> > Era un ejemplo nada más, no se me le enojesemele.

No estaba enojado... era una idea de donde buscar ideas (o poder piratear
codigo).

[Respecto "educacion a distancia"]

> > > [Por lo demas, estamos en la fase de "entusiasmo debordado,
> > >  implementemos!" del ciclo de 5 an~os de esas cosas... en cosa
> > >  de un an~o se daran cuenta (nuevamente) que no es /tan/ facil,
> > >  luego pasan dos an~os para que a todos se les olvide el descalabro,
> > >  y copmenzamos nuevamente por lo de "no seria buena idea"...]

> > KISS, DRY y algunas buenas técnicas de programación ayudan, ¿no?

No. Lo unico que ayuda es darse cuenta que problemas "de gente" no se
resuelven magicamente con "mecanismos tecnologicos". Pero reconocer eso es
impopular, y suele llevar a que a uno lo tilden de "pesimista incurable" y
"retrogrado"...
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux