Evitar sql injection y xss

Ricardo Mun~oz A. rmunoz en pjud.cl
Mar Sep 25 11:56:09 CLT 2007


Aldrin Gonzalo Martoq Ahumada wrote:

[...]

> El problema con el código que miré de CakePHP es que "no es ni chicha'
> ni limona'. No es un ORM, no es una API a base de datos, no es una
> framework de templates... es una mezcla de todo eso y parece que mucho
> mas.
>   

[...]

> Y bueno, ahí me dió lata seguir leyendo...

en las paginas 32-35 de la presentacion en [1] esta mucho mejor 
explicado como maneja Cake lo que es SQL injection, XSS, el manejo de la 
salida HTML, etc. el link al sitio de IBM solo descibe una clase 
opcional (Sanitize) que se puede usar en Cake. entonces, al parecer 
quedo la impresion de que en Cake se deben hacer muchas cosas a mano, 
pero no es asi. basicamente:

- SQL injection -> pag. 32 (es automatico)
- limpieza de HTML -> pag. 33 (es automatico)
- XSS -> pag.35 (output de los datos de POST se limpian automaticamente)

[1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf

-- 
Ricardo Mun~oz A.
Usuario Linux #182825 (counter.li.org)


Más información sobre la lista de distribución Linux