Evitar sql injection y xss

Rodrigo Fuentealba darkprox en gmail.com
Sab Sep 22 01:22:53 CLT 2007


El 22/09/07, Horst H. von Brand <vonbrand en inf.utfsm.cl> escribió:
> Leonardo Soto M. <leonardosoto en tutopia.com> wrote:
> > On 9/21/07, Horst H. von Brand <vonbrand en inf.utfsm.cl> wrote:
> > > Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> >
> > [...]
> > > > Llevar un tracking de aquellos elementos que en un nombre de pila no
> > > > serían permitidos pero en el campo "contenido" de un blog sí lo son,
> > >
> > > Bienvenido al mundo de "se requiere validar los datos"...
> >
> > Cuidado con pasarse de largo con las validaciones. Hoy leía a un tipo
> > [1] muy enojado porque un sistemita de la línea aerea en que iba a
> > viajar encontró que tener un signo "+" en una dirección de correo no
> > era válido. Y parece que tampoco le dejaban poner un guión ("-") en su
> > nombre.
> >
> > [1] http://weblog.raganwald.com/2007/09/you-suck.html
>
> Je.
>
> Y el Sr. O (si, ese era su apellido completo) que tuvo lios porque se
> valida "Apellido = Mayuscula + Minusculas". Etc.

Algo más trivial:

Creo que todos (al menos los chilenos) hemos llenado alguna vez la
famosa tabla "region_de_chile".

INSERT INTO regiones_de_chile (id, nombre) VALUES (6, 'Región del
Libertador Bernardo O'Higgins Riquelme');

Ups, la comilla simple... Es demasiado, pero demasiado trivial... pero
siempre que me toca, me tengo que detener un minuto y medio a dos para
pensar... ¿qué hice mal?

-- 
Rodrigo Fuentealba



Más información sobre la lista de distribución Linux