Evitar sql injection y xss
Ricardo Mun~oz A.
rmunoz en pjud.cl
Mar Sep 25 11:56:09 CLT 2007
Aldrin Gonzalo Martoq Ahumada wrote:
[...]
> El problema con el código que miré de CakePHP es que "no es ni chicha'
> ni limona'. No es un ORM, no es una API a base de datos, no es una
> framework de templates... es una mezcla de todo eso y parece que mucho
> mas.
>
[...]
> Y bueno, ahí me dió lata seguir leyendo...
en las paginas 32-35 de la presentacion en [1] esta mucho mejor
explicado como maneja Cake lo que es SQL injection, XSS, el manejo de la
salida HTML, etc. el link al sitio de IBM solo descibe una clase
opcional (Sanitize) que se puede usar en Cake. entonces, al parecer
quedo la impresion de que en Cake se deben hacer muchas cosas a mano,
pero no es asi. basicamente:
- SQL injection -> pag. 32 (es automatico)
- limpieza de HTML -> pag. 33 (es automatico)
- XSS -> pag.35 (output de los datos de POST se limpian automaticamente)
[1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf
--
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)
Más información sobre la lista de distribución Linux